文章探讨了各种编码技术,包括js、brainfuck和Ook,以及base64在解题中的应用。图片隐写中提到了jpg和png的十六进制开头,使用工具如stegsolve进行数据提取。音频隐写利用Audacity检测隐藏信息,而流量分析涉及TCP和HTTP协议的溯源。文章还讨论了流量包修复和数据提取技术,如binwalk和foremost的使用。
编码
-
编码太多了,各种稀奇古怪的,除了那个js的编码,还见识了brainfuck和Ook。当然,最常见的还是base64
-
但编码要和其它的技术结合起来来解题
-
没啥好说的,就是积累
图片隐写
-
首先要记下jpg,png图片的十六进制开头
-
图片大多数在最后隐写文本,压缩包,甚至是另一张图片
-
文本可以直接是flag,还可以是base64编码等,还有二进制编码
-
压缩包,有的可以直接解开,有的要用archpr爆破,密码大多数是4位纯数字(buuctf上)
-
-
还有的图片将信息隐写在详细情况中,需打开属性查看,在十六进制中也可以看出其特征。
-
LSB隐写,用stegsolve神器的Data Extract,一般隐写进去的有三种,一种是文本,一种是图片(可能是二维码),还有一种是压缩包
-
stegsolve还有Frame Browser,逐帧播放,对于gif的图片,这就弱智了。
-
还有改变图片的宽高以达到隐写,这需要校验crc编码,写脚本计算,但我抄了个。
音频隐写
-
有的音频里有滴答滴答的声音,不用说了,直接扔进Audacity中查看是否有莫斯科编码,但要仔细,不然很容易写错的
-
还有就是用mp3stoge进行隐写,解码时要有密码
压缩包
-
爆破
-
还有就是明文破解,注意要使用同一种压缩软件,不然虽然crc值一样,但还是无法爆破
流量分析
一般流量分析分为以下三种情况:
- 流量包修复
- 协议分析
- 数据提取
1.流量包修复
2.协议分析
我们通过分析不同类型的数据包,来查找flag可能出现的位置,常用的手段:
第一步,查看协议分级,找出流量最多的协议,然后过滤重点查看
第二步,将当前可疑的协议进行溯源,例如TCP溯源或者HTTP,然后分析可能出现的地方
第三步,分析观察可疑流量的包头信息以及流量的去向信息(例如flag可能以某种规律出现在包头,或者说当前流量是一次盲注攻击)
第四步,要是啥也没分析出来,去试试binwalk或者foremost分离一下试试,没准有隐藏文件(不过一般流量分析的时候就能看出来)
3.数据提取
其实就是上面的操作,只不过可能需要使用T-shark写脚本,来提取流量中某种特定规律
扫一扫
4443
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
