ctf入门必考题(安全攻防知识CTF之MISC)(1)

前言:

本周技术分享将介绍安全攻防知识中的MISC部分。MISC,中文即杂项,包括隐写、数据还原、脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。让我们一起来了解更多吧!

(一)文件结构简介

1.常见文件格式

ctf入门必考题(安全攻防知识CTF之MISC)(2)

2.举例

1)PNG格式文件的文件头:89 50 4E 47 0D 0A 1A 0A 。

ctf入门必考题(安全攻防知识CTF之MISC)(3)

2)红框内为ZIP格式文件的文件尾。此文件尾损坏将无法正常打开ZIP压缩文件。

ctf入门必考题(安全攻防知识CTF之MISC)(4)

3.文件格式检测方法

1、查看文件扩展名(可随意修改,不一定准确)。

2、使用支持16进制的文本工具查看文件头。

Windows:Winhex 、 010Editor

Linux:Hexeditor、Hexdump命令

3、使用文件识别工具。

Linux:file命令

4.常见文件头、文件尾

JPEG (jpg)文件头:FFD8FF;文件尾:FF D9

PNG (png)文件头:89504E47;文件尾:AE 42 60 82

GIF (gif) 文件头:47494638;文件尾:00 3B

TIFF (tif)文件头:49492A00

XML (xml)文件头:3C3F786D6C

HTML (html)文件头:68746D6C3E

Adobe Acrobat (pdf)文件头:255044462D312E

ZIP Archive (zip)文件头:504B0304;文件尾:504B

TAR (tar.gz)文件头:1F8B0800

RAR Archive (rar)文件头:526172211A0700 C43D7B00400700

Wave (wav)文件头:57415645

AVI (avi),文件头:41564920

MS Word/Excel (xls.or.doc)文件头:D0CF11E0

Adobe Photoshop (psd)文件头:38425053 Windows Bitmap (bmp) 文件头:424D

(二)隐写

隐写部分将介绍文档、图片及音频的隐写方式。请看以下详细介绍。

1. 文档隐写

1) word文档隐写:包括使用word的隐藏文字功能、转换成压缩包等方式。

2) pdf文档隐写:包括转换成word、使用工具解密等方式。

2.图片隐写

图片隐写包括直接隐藏在属性中修改图层、修改宽高、 盲水印隐写、lsb隐写等方式。其中,LSB隐写的原理就是图片中的像素一般是由三种颜色组成,即三原色(红绿蓝),由这三种原色可以组成其他 各种颜色。在PNG图片存储中,每个颜色就占有8bit,即有256种颜色,一共包含256的三次方颜色,即16777216中颜色。人类的眼睛可以区分约1,000万种不同的颜色,剩下无法区分的颜色就有6777216。LSB隐写就是修改了像素中的最低位,把一些信息隐藏起来。PNG图片是一种无损压缩,也只有在无损压缩或无压缩的图片(bmp图片是一种无压缩)上实现LSB隐写。如果是jpg图片,就没办法使用lsb隐写了。

ctf入门必考题(安全攻防知识CTF之MISC)(5)

LSB隐写就是修改RGB颜色分量的最低二进制位,也就是最低有效位。每个像素可以携带3比特的信息,10 进制的235表示的是绿色,所以我们在修改二进制中的最低位时,颜色依旧看不出有任何变化,从而达到隐藏信息的目的。

ctf入门必考题(安全攻防知识CTF之MISC)(6)

将最低有效位替换为0和1,然后7位或8位一组组成新的ASCII码。此外,工具隐写包括jphs、stegdetect、steghide等方式。

3.音频隐写音频隐写方式包含隐藏摩斯密码、工具隐写(mp3steg)、频谱图等方式。

(三)压缩包操作

主要以伪加密为主,还有暴力破解、字典破解、明文破解、crc32爆破等方式。其中,伪加密的操作方式如下显示:

ctf入门必考题(安全攻防知识CTF之MISC)(7)

(四)流量分析

1. wireshark简单使用

您可通过抓取本地ping流量或者抓取访问网页信息(get post 图片)后进行使用。详细的过滤方法如下:

ctf入门必考题(安全攻防知识CTF之MISC)(8)

2.常用方法

1)导出流

ctf入门必考题(安全攻防知识CTF之MISC)(9)

2)追踪流

ctf入门必考题(安全攻防知识CTF之MISC)(10)

ctf入门必考题(安全攻防知识CTF之MISC)(11)

(五)USB流量分析

1.USB接口简介通过监听USB接口流量,可获取键盘击键,鼠标移动与点击,存储设备的明文传输通信,USB无线网卡网络传输内容等。USB协议数据部分在Leftover Capture Data域中。使用tshark命令将其单独提取出来:

tshark.exe -r mouse.pcapng -T fields -e usb.capdata > usbdata.txt

ctf入门必考题(安全攻防知识CTF之MISC)(12)

2.键盘流量

键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。所以如果看到给出的数据包中的信息都是8个字节,并且只有第3个字节不为00,那么几乎可以肯定这是一个键盘流量。

3.鼠标流量

不同的鼠标抓到的流量不一样,一般的鼠标流量是四个字节。第一个字节表示按键指示的左键和右键,第二个字节表示水平位移,为正(小于127)是向右移动,为负(补码负数,大于127小于255)是向左移动。第三个字节表示垂直位移,为正(小于127)是向上移动,为负(补码负数,大于127小于255)是向下移动。事实上,起作用的只是三个相邻的字节。

(六)简单的取证分析

最后,您可通过磁盘恢复的方式进行简单的取证分析。在目前大赛中,取证的占比率还是相对来说很大的。

(七)了解小星,了解星云博创

星云博创科技有限公司(简称“星云博创”)成立于2016年,是国内新兴的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。星云博创设北京为北方总部,广州为南方总部,并于成都、合肥、南昌、贵州、武汉、太原、哈尔滨等多个城市设立分支机构。同时,星云博创为不断完善客户服务体系和应急响应体系,在全国10余个省、市、自治区、直辖市建立三级服务支持中心,7×24小时接受客户需求,及时提供标准一致的安全服务。

作为一家以技术先导的企业,星云博创始终坚持在网络安全、数据安全、态势感知、等级保护、合规性安全管理等领域进行技术创新,利用安全分析、大数据分析、人工智能等技术,对网络空间安全要素、安全风险进行深度挖掘与关联分析,构建了多层次的纵深防御体系,持续推出态势感知平台、静态脱敏系统、终端安全监测系统等一系列优秀的安全产品和行业解决方案,广泛应用于政府、运营商、医疗、教育、电力、能源等多个领域,让风险无所遁形。

星云博创已获得ISO9001、ISO27001、 ISO20000管理体系认证,CMMI5软件成熟度认证,信息系统安全集成服务、信息安全风险评估服务、软件安全开发服务资质的CCRC二级认证,及安全运维服务资质、应急处理服务资质的CCRC三级认证。此外,星云博创还是国家信息安全漏洞库(CNNVD)技术支撑单位、海南省网络安全应急技术支撑单位、广州市应急联动机构支撑单位。

,