CTF-MISC比赛技巧总结(一)

CTF-MISC比赛技巧总结之隐写术

一、第一阶段（观）：
1.flag藏在文本文件里面，直接ctrl+F就可以查找到；
2.flag被字符隔开，在头或尾上，这个时候就只用消除间隔字符就可以了；
3.flag被隐藏在加密字符中，解密特定字符即可；
4.flag被被隐藏在属性里面，查看属性即可；
5.flag需要用EIXF在线查看器查看；
6.打开压缩包的密码被放在旁边的注释里面；
7.利用stegsolve对GIF图逐帧查看，得到隐藏在GIF中的flag；
8.利用stegsolve进行反色，反色后会有出现隐藏在颜色里面的flag，如果有不清晰就用py脚本进行反色；
9.在我的世界存档里面，通关后会得到一串编码，最后解码得到flag；
常用工具：stegsolve、EIXF在线查看器、winhex、在线解密器
二、第二阶段（改）：
1.文件头尾损坏，需要修改头尾，熟悉各类文件头尾；
2.伪加密，未加密情况下修改标志位导致文件有密码；
3.修改图片宽高，题目给出宽高的话，直接修改就可以了，题目未给出宽高，先修改宽再改高，可以用CRC32值进行宽高值的计算，也可以写脚本进行宽高的分别爆破，但记住控制变量；
4.宽高的修改为为将宽高转化为16进制，找到宽高的16进制对应数据位，然后对宽高进行16进制修改，还有可能在宽高数据位会反写，正常修改即可；
5.用010查看有多个DATA数据块的时候进行数据块删除，使用工具tweakpng进行数据块删除，保存就可得到正确的flag图片；
6.在winhex中查看有多个文件头，或者用binwalk检测到多个文件在单一文件内，可以对文件头文件尾进行定位复制提取文件；
常用软件：010、winhex、binwalk、tweakpng
三、第三阶段（分离）：
1.直接可以利用binwalk进行分离，分离出压缩包或者文档、照片等；
2.thumbnail 隐写，exiftool -ThumbnailImage -b misc22.png > 123.txt ；
3.在以上的情况都没法的情况下，利用foremost -i [文件] 进行分离即可，在output中即可找到；
4.还有一种方法可以用zsteg进行分离，同样也可以，各有不同；
5.apng后缀的文件，可以用apngdis进行分离，否者会很麻烦，此种文件binwalk无法分离；
6末尾冗余数据收集，因为一边在结束位置后面，一般会有一些固定数据组，冗余数据则是可以将多个文件末尾的数据进行收集，最后变成一个新文件；
7.用stegsolve对LSB隐写的数据进行分离，即可得到正确的flag；
8.用zsteg查看extradata:0，然后用 zsteg -e " extradata:0 " misc17.png > ./1.txt
常用工具：binwalk、exiftool、zsteg、stegsolve、foremost、apngdis
四、第四阶段（破）：
1.宽高无法确定时，用py脚本进行爆破；
2.压缩包是真加密时，用爆破字典工具进行爆破；
3.在CRC32值有问题时候，也就是同样文件的情况下，CRC32值不同，用明文攻击；
4.在流量分析包里面，部分协议可以找到密码，即可得到密码进行解密；
常用工具：7zcracker、ARPR_2、Ziperello、wireshark