CTF-MISC比赛技巧总结之隐写术
一、第一阶段(观):
1.flag藏在文本文件里面,直接ctrl+F就可以查找到;
2.flag被字符隔开,在头或尾上,这个时候就只用消除间隔字符就可以了;
3.flag被隐藏在加密字符中,解密特定字符即可;
4.flag被被隐藏在属性里面,查看属性即可;
5.flag需要用EIXF在线查看器查看;
6.打开压缩包的密码被放在旁边的注释里面;
7.利用stegsolve对GIF图逐帧查看,得到隐藏在GIF中的flag;
8.利用stegsolve进行反色,反色后会有出现隐藏在颜色里面的flag,如果有不清晰就用py脚本进行反色;
9.在我的世界存档里面,通关后会得到一串编码,最后解码得到flag;
常用工具:stegsolve、EIXF在线查看器、winhex、在线解密器
二、第二阶段(改):
1.文件头尾损坏,需要修改头尾,熟悉各类文件头尾;
2.伪加密,未加密情况下修改标志位导致文件有密码;
3.修改图片宽高,题目给出宽高的话,直接修改就可以了,题目未给出宽高,先修改宽再改高,可以用CRC32值进行宽高值的计算,也可以写脚本进行宽高的分别爆破,但记住控制变量;
4.宽高的修改为为将宽高转化为16进制,找到宽高的16进制对应数据位,然后对宽高进行16进制修改,还有可能在宽高数据位会反写,正常修改即可;
5.用010查看有多个DATA数据块的时候进行数据块删除,使用工具tweakpng进行数据块删除,保存就可得到正确的flag图片;
6.在winhex中查看有多个文件头,或者用binwalk检测到多个文件在单一文件内,可以对文件头文件尾进行定位复制提取文件;
常用软件:010、winhex、binwalk、tweakpng
三、第三阶段(分离):
1.直接可以利用binwalk进行分离,分离出压缩包或者文档、照片等;
2.thumbnail 隐写,exiftool -ThumbnailImage -b misc22.png > 123.txt ;
3.在以上的情况都没法的情况下,利用foremost -i [文件] 进行分离即可,在output中即可找到;
4.还有一种方法可以用zsteg进行分离,同样也可以,各有不同;
5.apng后缀的文件,可以用apngdis进行分离,否者会很麻烦,此种文件binwalk无法分离;
6末尾冗余数据收集,因为一边在结束位置后面,一般会有一些固定数据组,冗余数据则是可以将多个文件末尾的数据进行收集,最后变成一个新文件;
7.用stegsolve对LSB隐写的数据进行分离,即可得到正确的flag;
8.用zsteg查看extradata:0,然后用 zsteg -e " extradata:0 " misc17.png > ./1.txt
常用工具:binwalk、exiftool、zsteg、stegsolve、foremost、apngdis
四、第四阶段(破):
1.宽高无法确定时,用py脚本进行爆破;
2.压缩包是真加密时,用爆破字典工具进行爆破;
3.在CRC32值有问题时候,也就是同样文件的情况下,CRC32值不同,用明文攻击;
4.在流量分析包里面,部分协议可以找到密码,即可得到密码进行解密;
常用工具:7zcracker、ARPR_2、Ziperello、wireshark
