本文详细介绍了CTF比赛中MISC(Miscellaneous)类别的一些常见问题和解题技巧,包括文件类型识别、文件内容分析、数据恢复、内存取证、流量分析等方面。内容涵盖各种文件格式的修复、隐藏信息的提取、音频视频的隐写分析、PDF和ZIP的隐藏字符挖掘、数据恢复、内存取证方法以及流量分析等。同时,还提及了多种工具的使用,如binwalk、foremost、Wireshark等,以及应对各种奇葩题目的策略。
MISC
-
信息收集
-
编码转换
-
隐写分析
图片、音频、视频、文档、流量包、
-
数字取证
图片、音频、视频、流量包、内存、磁盘文件、压缩包
文件类型|文件头残缺或错误
文件有后缀名,但是无法正常打开,或者没有后缀名,通过file命令发现文件类型是data,表示很有可能是文件头残缺或错误导致的,这时候需要根据后缀名、题目提示、文件头尾部数据等猜测文件的真实类型,并使用winhex添加或修改相应的文件头
文件类型 特点
ZIP 文件尾部包含0x504B0506的
RAR 文件结尾为0xC43D7B004007
JPG 文件结尾为0xFFD9 FFD8开始
PNG 文件头中包含IHDR信息
GIF 文件结尾为0x3B
ELF linux可执行文件,文件头7F454C46
文件分离
-
binwalk:binwalk工具可以快速分辨文件是否由多个文件合并而成,并将文件进行分离, 分离成功会在目标文件的目录下生成一个形如_文件名extracted 的文件目录,目录中有分离后的文件
文件分析:binwalk 文件名
文件分离:binwalk -e 文件名
-
foremost
foremost 文件名 -o 输出目录名
foremost 文件 —T
-
scalpel
-
dd
dd if=源文件 bs=1 skip=开始分离 of=输出名
-
winhex 手动分离
选取使用^Alt+1快捷键选取50为开始的块,"AIt¥2 选取00为结束块,然后右键->Edit->Copy
Block-> Into New File 保存相应的文件后缀,例如misc.zip
文件合并
linux: cat 文件 > 输出
window: copy /B 合并 输出
文件内容
-
winhex file
-
notepad
-
strings
-
JPG|exif exiftool 文件名
-
JPG|Steghide
Steghide info 1.jpg
隐藏:steghide embed -cf 图片 -ef 隐藏文件 [-p 密码]
提取:steghide extract -sf 图片 [-p 密码]
-
JPG|F5 java Extract 1.jpg -p 11231
-
JPG|SilentEye
Windows打开
-
JPG|敏感度
专门针对jpg stegdetect
stegdetect.exe -tjopi -s 10.0 *.jpg
-
JPG|Outguess
隐藏:outguess -k 密码 -d 隐藏文件 图片 加密图片
提取:outguess -r 加密图片 输出文件 -p pass
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
