MISC:基本思路 · 常用命令

原创 已于 2022-10-10 09:28:30 修改 · 2.2k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #http

于 2022-08-21 23:29:45 首次发布
本文详述了Linux命令binwalk、foremost、dd、exiftool等在文件分析中的应用,包括图片隐写分析、压缩文件破解,以及Windows命令如certutil和Winhex的配合。同时涵盖了流量取证分析,如WireShark过滤器和Wireshark数据提取,涉及密码破解、HTTPS包分析,以及移动设备、网络通信和嵌入式开发等领域的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解题思路 · 常用命令

Linux命令

binwalk

分析文件:binwalk 文件名
分离文件:binwalk -e 文件名

foremost

分离文件:foremost 文件名 -o 输出目录名

dd

命令格式:dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数

图01
可以结合binwalk使用

太过麻烦,也可使用winhex手动分离

cat

合并文件:cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件

md5sum

计算文件md5:md5sum 文件名

exiftool

分析属性:exiftool 文件名

zsteg

安装zsteg工具:gem install zsteg
检测LSB隐写:zsteg 文件名

aircrack-ng

检查cap包:aircrack-ng cap包文件名
跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名

Windows命令

copy

合并文件:copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件

certutil

计算文件md5:certutil -hashfile 文件名 md5

命令汇总

分离文件

Linux

binwalk -e 文件名

foremost 文件名 -o 输出目录名

dd if=源文件名 of=目标文件名 bs=字节数 count块数 skip=字节数

合并文件

Linux
cat 第1个合并的文件 ...... 第n个合并的文件 > 输出的文件

Windows
copy /B 第1个合并的文件+......+第n个合并的文件 输出的文件

基本解题思路

图片文件隐写

  • exif
    查看详细信息

  • 像素RGB值进行XOR、SUB、ADD等操作

  • LSB替换隐写
    可使用zsteg命令分析
    可使用python脚本分析

  • PNG图片打不开时可尝试通过TweakPNG校验CRC
    可结合Winhex使用

循环冗余校验码(CRC),简称循环码,是一种常用的、具有检错、纠错能力的校验码,在早期的通信中运用广泛。循环冗余校验码常用于外存储器和计算机同步通信的数据校验。

  • 图片高度或宽度出错

  • 使用Bftools工具解密图片
    Windows命令:
    1、bftools.exe decode braincopter 要解密的图片名称 –output 输出文件名
    2、bftools.exe run 上一步输出的文件

  • Stegdetect工具探测加密方式
    主要用于分析JPEG文件
    Linux命令:
    stegdetect 文件名
    stegdetect -s 敏感度 文件名

压缩文件分析

  • 伪加密

  • 暴力破解zip
    使用Ziperello工具
    使用ARCHPR工具

流量取证分析

  • WireShark过滤器
    常用的过滤命令
    (“eq”可以用“==”代替)

1、过滤IP
ip.src eq ip地址:源IP
ip.dst eq ip地址:目标IP
ip.addr eq ip地址

例:
ip.src eq 192.168.7.146 or ip.dst eq 1.1.1.1

2、过滤端口
tcp.port eq 端口号
udp.port eq 端口号
tcp.dstport == 端口号:只显示tcp协议且为特定目标端口
tcp.srcport == 端口号:只显示tcp协议且为特定源端口
tcp.port >= 端口号1
tcp.port <= 端口号2

例:

tcp.port eq 192.168.7.146 or udp.port eq 192.168.7.146

tcp.port >= 1 and tcp.port <= 80

3、过滤协议
协议名

例:
tcp/udp/arp/icmp/http/ftp/dns/ip…

4、过滤MAC
eth.dst == MAC地址:只显示为特定目标mac

例:
eth.dst == A0:00:00:04:C5:84

5、包长度过滤
udp.length == 长度:指udp本身固定长度8加上udp下面数据包之和
tcp.len >= 长度:指ip数据包,不包括tcp本身
ip.len == 长度:除了以太网头固定长度14的其他部分,即从ip本身到最后
frame.len == 长度:整个数据包长度,从eth开始到最后

例:

udp.length == 28

tcp.len >= 6

ip.len == 90

frame.len == 128

6、协议模式过滤
http.request.method == "请求方法名"
http.request.uri == "uri路径"
[协议] contains "字符串"

例:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo.gif”
http contains “GET”
http contains “HTTP/1.1”
http contains “flag”
http contains “key”
tcp contains “flag”
http.request.method == “GET” && http contains “User-Agent:”

  • WireShark流汇聚

1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传
3、一句话木马,POST请求,内容包含eval,内容使用base64加密

  • WireShark数据提取

1、自动提取传输的文件内容:
文件 -> 导出对象 -> HTTP

2、手动提取文件内容:

图02

  • 无线WiFi流量包破解密码
    用 aircrack-ng 工具进行wifi密码破解
    检查cap包:aircrack-ng cap包文件名
    跑字典进行握手包破解:aircrack-ng cap包文件名 -w 字典文件名

  • USB流量包文件分析
    图03

1、键盘流量抓取分析
Leftover Capture Data 中值与具体键位的对应关系,可参考:https://www.usb.org/hid

Leftover Capture Data 数据提取方式1(此方法不好用):
图04
Leftover Capture Data 数据提取方式2:
利用wireshark提供的命令行工具tshark,可以将leftover capture data数据单独复制出来
Linux及Windows命令:
tshark -r pcap文件 -T fields -e usb.capdata > 输出的txt文件名

2、鼠标流量抓取分析
图05

  • HTTPS流量包文件分析
    图06
【安全攻防知识-4】CTF之MISC
qq_26579613的博客
03-24 4万+
1、MISC介绍 MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。 2、隐写术 隐写术包括图片、音频、视频等文件隐写,在处理这类问题时,应优先确认该文件的实际类型,可参考下图,查看其文件头信息。 常用以下工具: 1、010editor 查看文件类型 2、Binwalk 合并文件 3、Notepad++ 进行
MISC解题思路总结(自用)
ex_island的博客
08-12 1757
作者本人在2021-2022年参与ctf比赛,并在学习misc中的一些自己整理的笔记,自用
bftools(加密解密工具)
gitblog_06799的博客
04-22 356
bftools(加密解密工具) 【下载地址】bftools加密解密工具 bftools 是一款专为 CTF 竞赛设计的加密解密工具集,专注于图片隐写技术。它集成了多种高效工具,帮助参赛者快速应对复杂的加密解密题目,提升解题效率。所有工具均经过安全测试,确保可靠性和稳定性。无论是初学者还是资深选手,bftools 都能为您...
bftools资源文件介绍:便捷操作Bio-Formats的命令行工具
gitblog_06799的博客
05-29 325
bftools资源文件介绍:便捷操作Bio-Formats的命令行工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在生物信息学领域,处理生物图像数据是一项常见且关键的任务。bftools软件包正是为了满足这一需求而诞生,它为Bio-Formats提供了一个高效的命令行工具包装。用户可以利用bftools在命令行环境中直接对Bio-Formats进行操作,极大地提高...
bftools加密解密工具:专为CTF设计的利器
gitblog_06757的博客
05-21 639
bftools加密解密工具:专为CTF设计的利器 【下载地址】bftools加密解密工具 bftools 是一款专为 CTF 竞赛设计的加密解密工具集,专注于图片隐写技术。它集成了多种高效工具,帮助参赛者快速应对复杂的加密解密题目,提升解题效率。所有工具均经过安全测试,确保可靠性和稳定性。无论是初学者还是资深选手,bft...
CTF常见工具用法
Gdxdingjian666的博客
05-19 1192
bftools可以从图片分解brainfuck。
Misc
weixin_44319142的博客
04-25 255
签到 一看到第一反应是base64 走到这一步以后,想想格式应该是ssctf{},所以想到应该是凯撒密码 试试 https://www.qqxiuzi.cn/bianma/kaisamima.php 密码就那么几种,栅栏密码试试 https://www.qqxiuzi.cn/bianma/zhalanmima.php 出来了 ...
misc
qq_43613772的博客
07-17 3281
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。 Misc 在国外的比赛中其实又被具体划分为各个小块,有 Recon、Forensic、Stego、Misc… 在国内内的比赛中,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)也被划入其中。 杂项大致有几种类型: 流量分析 隐写 压缩包处理 文件格式分析 攻击取证 主要介绍一些获取信息的渠道...
MISC
Derait的博客
01-25 512
MISC 对目前做题过程中遇到的MISC题型进行一个总结 文章目录MISC基本素养解码base家族培根密码进制转换凯撒密码&维吉尼亚密码摩斯电码社会主义核心价值观编码图片包含文件隐藏信息StegsolvePNGIDATIHDRGIFLSB隐写silentEyeF5隐写双图盲水印异或文档wbStego4隐藏文字音频隐藏密钥MP3Stego隐藏文字音频隐藏密钥MP3Stego 基本素养 做MISC题的基本素养是:观察。 无论拿到什么样的文件,首先对它进行全方位的观察,包括但不限于属性、注释、标题和文
探索CTF-Misc:隐藏在数字世界的神秘宝藏
大雨淅淅的博客
06-02 515
在这个案例中,解题的关键在于对线索的准确把握和运用各种工具及技术进行分析。首先,根据提示进行信息搜集,找到关键的图片。然后,利用图片隐写分析工具,发现并提取隐藏在图片中的信息。最后,通过编码转换,得到解压密码,成功获取 Flag。这个过程不仅考验了选手对 MISC 相关技术的掌握程度,还考验了选手的信息搜集能力、分析能力和耐心。CTF-Misc 应用涵盖了文件隐写术、图片与音频中的隐藏信息挖掘、压缩包的秘密破解以及流量分析等多个领域,每个领域都充满了挑战与乐趣,需要我们不断学习和探索。
MySQL高频基本面试问题整理
热门推荐
张彦峰的博客
04-07 174万+
总结大厂MySQL高频基本面试问题整理,用于快速查缺补漏
蓝队应急响应-Linux日志分析及常用命令总结
网络安全
07-12 1403
玄机靶场地址:https://xj.edisec.net/第一章应急响应-Linux日志分析1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少在Linux系统下,日志默认存...
MISC攻防世界
苏生要努力
02-17 3135
jpg文件首先用binwalk工具查看是否有隐写,进行分离图片,后发现有zip的文件,打开有个file.txt文件有密码,查看jpg图片的备注有东西,应该是密码,打开文件后出现一些数据,后进行词频分析得到flag。因此每两条密集带中间的稀疏带宽度如果较短,代表0,如果较长,代表1。每个命令由三个字节组成:控制字节、地址字节、数据字节。最后得到- .... . ... . -.-. .-. . - .-- -.. ..-. .-.. .- --. .. ... -- --- .-. . ... .
安全攻防知识——CTF之MISC
Karka_的博客
08-04 2529
本周技术分享将介绍安全攻防知识中的MISC部分。MISC,中文即杂项,包括隐写、数据还原、脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。让我们一起来了解更多吧!
什么是misc
qq_63041635的博客
02-20 222
"Misc" 可能是 "miscellaneous" 的缩写,意思是“杂项”或“其他”。在不同领域中,它通常指那些无法明确分类的项目或内容。1. **文件管理**:在文件夹或文件中,"misc" 可能用于存放无法归类到其他明确类别的文件。2. **编程**:在代码库中,"misc" 可能包含一些辅助函数、工具或不属于主要功能的代码。3. **论坛或分类网站**:"misc" 板块通常用于讨论不适合其他特定类别的话题。
Js misc
shikongzhan的专栏
03-01 490
$(function(){ }  这是jquery里的,是当文档载入完毕就执行,的意思.   $(function(){ $("#treeDiv1").load("composer.jsp?type=list"); $("#treeDiv2").load("composer.jsp?type=list2"); });   这个就是当文档加载完成,就执行 $("#treeDiv1"
Http misc
shikongzhan的专栏
03-01 490
http 204 在http协议中,经常会遇到的状态码200、404、500等等,大家应该比较熟悉。但是对于这个204状态码可能就不是很了解了。 204状态是指服务器成功处理了客户端请求,但服务器无返回内容。 204是HTTP中数据量最少的响应状态,204的响应中没有body,而且Content-Length=0。 一般情况下,我们在使用ajax提交一些数据给服务器,而不需要服务器返回的时
misc相关
m0_52484587的博客
01-02 1356
MISC,中文即杂项,。竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。
ctfshow misc8
最新发布
06-19
### CTFShow Misc8 题目解题思路 在CTF竞赛中,Misc类题目通常涉及文件分析、隐写术、编码解码等技术。对于CTFShow平台上的Misc8题目,尽管没有直接的参考引用[^1],但根据常见的Misc类题目特点以及相关经验,可以推测出可能的解题方向。 #### 1. 文件格式分析 如果题目提供了一个文件(如图片、文档或压缩包),需要先确定其文件类型和格式。可以使用`file`命令检查文件的真实类型: ```bash file filename ``` 此外,工具如`strings`可以帮助提取文件中的可读字符串,这可能是隐藏的信息的一部分: ```bash strings filename ``` #### 2. 编码与解码 许多Misc题目涉及不同类型的编码,例如Base64、Hex、URL编码等。如果题目中包含看似随机的字符序列,尝试使用以下Python代码进行解码: ```python import base64 encoded_data = "your_encoded_string_here" decoded_data = base64.b64decode(encoded_data).decode('utf-8') print(decoded_data) ``` #### 3. 隐写术 如果题目涉及图片或其他多媒体文件,隐写术是一个常见的考点。可以使用工具如`steghide`或`zsteg`来检测和提取隐藏信息: ```bash steghide extract -sf image.png zsteg image.png ``` #### 4. 数据错误修正 某些题目可能故意引入数据错误,要求参赛者修复这些错误以恢复原始内容。例如,PNG文件的数据块损坏可以通过`tweakpng`工具进行调整[^2]。 #### 5. 社会工程学线索 部分Misc题目可能通过题目描述、文件名或附加信息提供线索。仔细阅读题目文本,寻找可能的提示。 #### 6. 工具推荐 以下是常用的工具列表,适用于多种Misc类题目: - `binwalk`: 分析嵌套文件结构。 - `exiftool`: 提取文件元数据。 - `foremost`: 恢复被删除的文件片段。 ### 示例代码 以下是一个简单的脚本,用于批量解码Base64字符串: ```python import base64 def decode_base64(encoded_str): try: decoded_str = base64.b64decode(encoded_str).decode('utf-8') return decoded_str except Exception as e: return f"Error: {e}" # 示例输入 input_str = "SGVsbG8gV29ybGQh" result = decode_base64(input_str) print(result) # 输出:Hello World! ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值