花名/ID: 天析

邮箱: 2200475850@qq.com

主攻方向: 物联网安全、WEB安全

兴趣爱好: 乒乓球、羽毛球、排球、业余无线电···

备案信息:蜀ICP备19023334号

CTF 杂项 资料整理

隐写类

1. 图片隐写

思路

  • 16进制编辑器查看内容,有没有类似PK,RAR,txt,flag,password等信息
  • 16进制补全头或者在尾
  • 图片查看备注或者详细信息
  • 图片修改高度

常见 16进制文件头尾列表

| 文件头 | 文件尾 | 类型描述 | 扩展名 |
|-|-|-|-|
| FFD8FF | AE426082 | 图片 | jpeg |
| 89504E | 暂无 | 图片 | png |
| 474946 | 暂无 | 图片 | gif |
| 49492A | 暂无 | 图片 | tiff |
| 424D | 暂无 | 图片 | bmp |
| 38425053 | 暂无 | Photoshop Document | psd |
| 7B5C727466 | 暂无 | 富文本 | rtf |
| 3C3F786D6C | 暂无 | 可扩展标记语言 | xml |
| 68746D6C3E | 暂无 | 可扩展标记语言 | html |
| 44656C69766572792D646174653A | 暂无 | 邮件归档后生成的文件 | eml |
| CFAD12FEC5FD746F | 暂无 | DBX文件是由Microsoft电子邮件程序Outlook Express创建的文件夹 | dbx |

Outlook Express (),文件头:
Outlook (pst),文件头:2142444E
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头:52617221
Wave (wav),文件头:57415645
AVI (avi),文件头:41564920
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D546864
1、 binwalk或者foremost进行图片分离
2、 Stegsolve 可以看常规的图片隐写,比如gif什么的,发现LSB隐写,Xor等等。
3、 LSB隐写
4、 F5刷新
5、 Outguess
6、 PS分离图层,或者拼接图片。
7、 二维码神器,CQR.exe

Word

  1. 本质是一个压缩包,里面可以隐藏图片或者txt
  2. 打开word以后是一首诗,但是没头绪,重点在行间距,大的是1,小的是0
  3. word显示隐藏内容

pcgp流量包

1、 wiresahrk
2、 追踪流 TCP UDP ICMP HTTP
3、 文件->导出->导出 HTTP TCP 等
4、 foremost分离压缩包
5、 wifi包格式,手机包格式

压缩包

1、查看详细信息或者备注
2、 16进制打开,查看内容
3、 伪加密:360压缩或者16进制分析伪加密
4、 暴力破解 ARCHPR或者ziperello
5、 明文攻击 ARCHPR
6、 CRC校验
7、 CRC32碰撞
8、 foremost分离

磁盘分区/备份

1、DiskGenius 回复磁盘分区

MP3

1、 Mp3Stego-gui 剩下的工具,大哥们写
2、 https://blog.csdn.net/pdsu161530247/article/details/77568807
3、 先听一遍,看看是啥
4、 比如:开头5秒是空白,或者打开看波段,波形,或者最后有没有空白几秒
pdf文档结构:https://lazymind.me/2017/10/pdf-structure/
5、mp3保留bit位隐写
PDF、日志审计、取证、视频隐写