0x00前言
1 刚入门CTF,做了几道隐写类的题目后,对隐写有了很大的兴趣,然后慢慢从隐写逐渐转型到杂项。总结出来,也是对这段时间的一个总结。
2 杂项
3 我认为杂项是进入CTF竞赛领域,培养信息安全的最佳入口。杂项所涉及的工具多样,内容丰富,出题形式多样,可以快速的扩散自己的思维,让自己脑洞大开。
不仅如此,通过杂项
0x01 图片分析
1.PNG
(1)文件署名域(文件头信息)
png格式文件用8字节文件署名域来标识文件是否是PNG文件。
十进制数 137 80 78 71 13 10 26 10
十六进制数89 50 4e 47 0d 0a 1a 0a
(2)文件头数据块IHDR,(header chunk),它包含有PNG文件中存储的图像的基本信息,是数据块中第一个出现在PNG数据流中的数据块,而且只能出现一次。而我们主要关注的
就是图像属性中的图像宽度和长度两个值。
|
域的名称 |
字节数 |
说明 |
| Width | 4 bytes | 图像宽度,以像素为单位 |
| Height | 4 bytes | 图像高度,以像素为单位 |
(3)文件结束数据块IEND(image trailer chunk):它用来标记PNG文件或者数据流已经结束,并且必须要放在文件的尾部。
十六进制: 00 00 00 00 49 45 4E 44 AE 42 60 82
PNG文件头末尾的12字节是不变, 数据长度永远是0字节,然后是IEND标识符,后面是CRC校验码也是不变的。
2.JPG,JPEG
(1)JPG格式是一种有损压缩格式,现在能用到的就是文件头和文件尾
文件头:0xFFD8 文件尾: 0xFFD9
现在还没有碰到过一些直接修改属性的题目,一般遇到JPG类型的图片,隐藏内容都是追加形式,附加在文件尾0xFFD9后面,来达到隐藏的效果。
(2)相关工具:Stegdect
3.GIF
(1)文件头
GIF文件头由两部分组成 文件署名和版本号组成
所以文件头有两种 分别是 GIF89a 和 GIF87a
(2)相关工具:Gifsplitter ,可以分离出来每一张图片。
4.LSB
0x02 音频分析
1.MP3隐写
目前看到的大多数题目都是使用的MP3隐写,就是通过MP3Stego这个工具进行隐写,这种隐写方式都会在某处隐藏一个密码,用来进行MP3音频的提取。
软件命令:
encode -E hidden_text.txt -P password a.wav b.mp3
decode -X -P password b.mp3
2.频谱隐写
在一段音频中通过添加第三段频谱来达到数据隐藏的效果。
·我们一般用audacity这个软件进行分析
0x03 压缩包分析
· 1.文件头,CTF题目中常常可见修改后缀名的事情,所以我们必须清楚记得每种文件格式的文件头,才可以快速判断文件真实的数据格式
(1)Zip
zip压缩包在题目中非常常见。
文件头标识:50 4B 03 04 前两位的ASCII码是PK,是zip格式文件创世人的名称缩写
(2)Rar
文件头:52 61 72 21 1A 07 00
2.解压
CTF遇到压缩包,大多数情况下都是有密码的。
而解开压缩包,一种是从其他途径获得密码,比如社工。一种就是通过工具使用不同的攻击方法获取密码
工具方法:
(1)爆破
(2)CRC碰撞
(3)明文攻击
(4)伪加密
未完,只是写出了大体的框架