MISC:基本思路 · 常用命令

本文详述了Linux命令binwalk、foremost、dd、exiftool等在文件分析中的应用,包括图片隐写分析、压缩文件破解,以及Windows命令如certutil和Winhex的配合。同时涵盖了流量取证分析,如WireShark过滤器和Wireshark数据提取,涉及密码破解、HTTPS包分析,以及移动设备、网络通信和嵌入式开发等领域的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


Linux命令

binwalk

分析文件:binwalk 文件名
分离文件:binwalk -e 文件名

foremost

分离文件:foremost 文件名 -o 输出目录名

dd

命令格式:dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数

图01
可以结合binwalk使用

太过麻烦,也可使用winhex手动分离

cat

合并文件:cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件

md5sum

计算文件md5:md5sum 文件名

exiftool

分析属性:exiftool 文件名

zsteg

安装zsteg工具:gem install zsteg
检测LSB隐写:zsteg 文件名

aircrack-ng

检查cap包:aircrack-ng cap包文件名
跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名

Windows命令

copy

合并文件:copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件

certutil

计算文件md5:certutil -hashfile 文件名 md5

命令汇总

分离文件

Linux

binwalk -e 文件名

foremost 文件名 -o 输出目录名

dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数

合并文件

Linux
cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件

Windows
copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件

基本解题思路

图片文件隐写

  • exif
    查看详细信息

  • 像素RGB值进行XOR、SUB、ADD等操作

  • LSB替换隐写
    可使用zsteg命令分析
    可使用python脚本分析

  • PNG图片打不开时可尝试通过TweakPNG校验CRC
    可结合Winhex使用

循环冗余校验码(CRC),简称循环码,是一种常用的、具有检错、纠错能力的校验码,在早期的通信中运用广泛。循环冗余校验码常用于外存储器和计算机同步通信的数据校验。

  • 图片高度或宽度出错

  • 使用Bftools工具解密图片
    Windows命令:
    1、bftools.exe decode braincopter 要解密的图片名称 –output 输出文件名
    2、bftools.exe run 上一步输出的文件

  • Stegdetect工具探测加密方式
    主要用于分析JPEG文件
    Linux命令:
    stegdetect 文件名
    stegdetect -s 敏感度 文件名

压缩文件分析

  • 伪加密

  • 暴力破解zip
    使用Ziperello工具
    使用ARCHPR工具

流量取证分析

  • WireShark过滤器
    常用的过滤命令
    (“eq”可以用“==”代替)

1、过滤IP
ip.src eq ip地址:源IP
ip.dst eq ip地址:目标IP
ip.addr eq ip地址

例:
ip.src eq 192.168.7.146 or ip.dst eq 1.1.1.1

2、过滤端口
tcp.port eq 端口号
udp.port eq 端口号
tcp.dstport == 端口号:只显示tcp协议且为特定目标端口
tcp.srcport == 端口号:只显示tcp协议且为特定源端口
tcp.port >= 端口号1
tcp.port <= 端口号2

例:

tcp.port eq 192.168.7.146 or udp.port eq 192.168.7.146

tcp.port >= 1 and tcp.port <= 80

3、过滤协议
协议名

例:
tcp/udp/arp/icmp/http/ftp/dns/ip…

4、过滤MAC
eth.dst == MAC地址:只显示为特定目标mac

例:
eth.dst == A0:00:00:04:C5:84

5、包长度过滤
udp.length == 长度:指udp本身固定长度8加上udp下面数据包之和
tcp.len >= 长度:指ip数据包,不包括tcp本身
ip.len == 长度:除了以太网头固定长度14的其他部分,即从ip本身到最后
frame.len == 长度:整个数据包长度,从eth开始到最后

例:

udp.length == 28

tcp.len >= 6

ip.len == 90

frame.len == 128

6、协议模式过滤
http.request.method == "请求方法名"
http.request.uri == "uri路径"
[协议] contains "字符串"

例:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo.gif”
http contains “GET”
http contains “HTTP/1.1”
http contains “flag”
http contains “key”
tcp contains “flag”
http.request.method == “GET” && http contains “User-Agent:”

  • WireShark流汇聚

1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传
3、一句话木马,POST请求,内容包含eval,内容使用base64加密

  • WireShark数据提取

1、自动提取传输的文件内容:
文件 -> 导出对象 -> HTTP

2、手动提取文件内容:

图02

  • 无线WiFi流量包破解密码
    用 aircrack-ng 工具进行wifi密码破解
    检查cap包:aircrack-ng cap包文件名
    跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名

  • USB流量包文件分析
    图03

1、键盘流量抓取分析
Leftover Capture Data 中值与具体键位的对应关系,可参考:https://www.usb.org/hid

Leftover Capture Data 数据提取方式1(此方法不好用):
图04
Leftover Capture Data 数据提取方式2:
利用wireshark提供的命令行工具tshark,可以将leftover capture data数据单独复制出来
Linux及Windows命令:
tshark -r pcap文件 -T fields -e usb.capdata > 输出的txt文件名

2、鼠标流量抓取分析
图05

  • HTTPS流量包文件分析
    图06
### CTFShow Misc8 题目解题思路 在CTF竞赛中,Misc类题目通常涉及文件分析、隐写术、编码解码等技术。对于CTFShow平台上的Misc8题目,尽管没有直接的参考引用[^1],但根据常见的Misc类题目特点以及相关经验,可以推测出可能的解题方向。 #### 1. 文件格式分析 如果题目提供了一个文件(如图片、文档或压缩包),需要先确定其文件类型和格式。可以使用`file`命令检查文件的真实类型: ```bash file filename ``` 此外,工具如`strings`可以帮助提取文件中的可读字符串,这可能是隐藏的信息的一部分: ```bash strings filename ``` #### 2. 编码与解码 许多Misc题目涉及不同类型的编码,例如Base64、Hex、URL编码等。如果题目中包含看似随机的字符序列,尝试使用以下Python代码进行解码: ```python import base64 encoded_data = "your_encoded_string_here" decoded_data = base64.b64decode(encoded_data).decode('utf-8') print(decoded_data) ``` #### 3. 隐写术 如果题目涉及图片或其他多媒体文件,隐写术是一个常见的考点。可以使用工具如`steghide`或`zsteg`来检测和提取隐藏信息: ```bash steghide extract -sf image.png zsteg image.png ``` #### 4. 数据错误修正 某些题目可能故意引入数据错误,要求参赛者修复这些错误以恢复原始内容。例如,PNG文件的数据块损坏可以通过`tweakpng`工具进行调整[^2]。 #### 5. 社会工程学线索 部分Misc题目可能通过题目描述、文件名或附加信息提供线索。仔细阅读题目文本,寻找可能的提示。 #### 6. 工具推荐 以下是常用的工具列表,适用于多种Misc类题目: - `binwalk`: 分析嵌套文件结构。 - `exiftool`: 提取文件元数据。 - `foremost`: 恢复被删除的文件片段。 ### 示例代码 以下是一个简单的脚本,用于批量解码Base64字符串: ```python import base64 def decode_base64(encoded_str): try: decoded_str = base64.b64decode(encoded_str).decode('utf-8') return decoded_str except Exception as e: return f"Error: {e}" # 示例输入 input_str = "SGVsbG8gV29ybGQh" result = decode_base64(input_str) print(result) # 输出:Hello World! ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值