ctf入門必考題（安全攻防知識CTF之MISC）

2023-05-16 19:01:06

前言：

本周技術分享將介紹安全攻防知識中的MISC部分。MISC，中文即雜項，包括隱寫、數據還原、腦洞、社會工程、壓縮包解密、流量分析取證、與信息安全相關的大數據等。讓我們一起來了解更多吧！

（一）文件結構簡介

1.常見文件格式

2.舉例

1）PNG格式文件的文件頭：89 50 4E 47 0D 0A 1A 0A 。

2）紅框內為ZIP格式文件的文件尾。此文件尾損壞將無法正常打開ZIP壓縮文件。

3.文件格式檢測方法

1、查看文件擴展名（可隨意修改，不一定準確）。

2、使用支持16進位的文本工具查看文件頭。

Windows：Winhex 、 010Editor

Linux：Hexeditor、Hexdump命令

3、使用文件識別工具。

Linux：file命令

4.常見文件頭、文件尾

JPEG (jpg)文件頭：FFD8FF；文件尾：FF D9

PNG (png)文件頭：89504E47；文件尾：AE 42 60 82

GIF (gif) 文件頭：47494638；文件尾：00 3B

TIFF (tif)文件頭：49492A00

XML (xml)文件頭：3C3F786D6C

HTML (html)文件頭：68746D6C3E

Adobe Acrobat (pdf)文件頭：255044462D312E

ZIP Archive (zip)文件頭：504B0304；文件尾：504B

TAR （tar.gz）文件頭：1F8B0800

RAR Archive (rar)文件頭：526172211A0700 C43D7B00400700

Wave (wav)文件頭：57415645

AVI (avi)，文件頭：41564920

MS Word/Excel (xls.or.doc)文件頭：D0CF11E0

Adobe Photoshop (psd)文件頭：38425053 Windows Bitmap (bmp) 文件頭：424D

（二）隱寫

隱寫部分將介紹文檔、圖片及音頻的隱寫方式。請看以下詳細介紹。

1. 文檔隱寫

1） word文檔隱寫：包括使用word的隱藏文字功能、轉換成壓縮包等方式。

2） pdf文檔隱寫：包括轉換成word、使用工具解密等方式。

2.圖片隱寫

圖片隱寫包括直接隱藏在屬性中修改圖層、修改寬高、盲水印隱寫、lsb隱寫等方式。其中，LSB隱寫的原理就是圖片中的像素一般是由三種顏色組成，即三原色(紅綠藍)，由這三種原色可以組成其他各種顏色。在PNG圖片存儲中,每個顏色就佔有8bit，即有256種顏色，一共包含256的三次方顏色，即16777216中顏色。人類的眼睛可以區分約1,000萬種不同的顏色，剩下無法區分的顏色就有6777216。LSB隱寫就是修改了像素中的最低位，把一些信息隱藏起來。PNG圖片是一種無損壓縮，也只有在無損壓縮或無壓縮的圖片（bmp圖片是一種無壓縮）上實現LSB隱寫。如果是jpg圖片,就沒辦法使用lsb隱寫了。

LSB隱寫就是修改RGB顏色分量的最低二進位位，也就是最低有效位。每個像素可以攜帶3比特的信息，10 進位的235表示的是綠色，所以我們在修改二進位中的最低位時，顏色依舊看不出有任何變化，從而達到隱藏信息的目的。

將最低有效位替換為0和1，然後7位或8位一組組成新的ASCII碼。此外，工具隱寫包括jphs、stegdetect、steghide等方式。

3.音頻隱寫音頻隱寫方式包含隱藏摩斯密碼、工具隱寫（mp3steg）、頻譜圖等方式。

（三）壓縮包操作

主要以偽加密為主，還有暴力破解、字典破解、明文破解、crc32爆破等方式。其中，偽加密的操作方式如下顯示：

（四）流量分析

1. wireshark簡單使用

您可通過抓取本地ping流量或者抓取訪問網頁信息（get post 圖片）後進行使用。詳細的過濾方法如下：

2.常用方法

1）導出流

2）追蹤流

（五）USB流量分析

1.USB接口簡介通過監聽USB接口流量，可獲取鍵盤擊鍵，滑鼠移動與點擊，存儲設備的明文傳輸通信，USB無線網卡網絡傳輸內容等。USB協議數據部分在Leftover Capture Data域中。使用tshark命令將其單獨提取出來：

tshark.exe -r mouse.pcapng -T fields -e usb.capdata > usbdata.txt

2.鍵盤流量

鍵盤數據包的數據長度為8個字節，擊鍵信息集中在第3個字節，每次擊鍵都會產生一個數據包。所以如果看到給出的數據包中的信息都是8個字節，並且只有第3個字節不為00，那麼幾乎可以肯定這是一個鍵盤流量。

3.滑鼠流量

不同的滑鼠抓到的流量不一樣，一般的滑鼠流量是四個字節。第一個字節表示按鍵指示的左鍵和右鍵，第二個字節表示水平位移，為正（小於127）是向右移動，為負（補碼負數，大於127小於255）是向左移動。第三個字節表示垂直位移，為正（小於127）是向上移動，為負（補碼負數，大於127小於255）是向下移動。事實上，起作用的只是三個相鄰的字節。

（六）簡單的取證分析

最後，您可通過磁碟恢復的方式進行簡單的取證分析。在目前大賽中，取證的佔比率還是相對來說很大的。

（七）了解小星，了解星雲博創

星雲博創科技有限公司（簡稱「星雲博創」）成立於2016年，是國內新興的網絡安全產品、可信安全管理平臺、專業安全服務與解決方案的綜合提供商。星雲博創設北京為北方總部，廣州為南方總部，並於成都、合肥、南昌、貴州、武漢、太原、哈爾濱等多個城市設立分支機構。同時，星雲博創為不斷完善客戶服務體系和應急響應體系，在全國10餘個省、市、自治區、直轄市建立三級服務支持中心，7×24小時接受客戶需求，及時提供標準一致的安全服務。

作為一家以技術先導的企業，星雲博創始終堅持在網絡安全、數據安全、態勢感知、等級保護、合規性安全管理等領域進行技術創新，利用安全分析、大數據分析、人工智慧等技術，對網絡空間安全要素、安全風險進行深度挖掘與關聯分析，構建了多層次的縱深防禦體系，持續推出態勢感知平臺、靜態脫敏系統、終端安全監測系統等一系列優秀的安全產品和行業解決方案，廣泛應用於政府、運營商、醫療、教育、電力、能源等多個領域，讓風險無所遁形。

星雲博創已獲得ISO9001、ISO27001、 ISO20000管理體系認證，CMMI5軟體成熟度認證，信息系統安全集成服務、信息安全風險評估服務、軟體安全開發服務資質的CCRC二級認證，及安全運維服務資質、應急處理服務資質的CCRC三級認證。此外，星雲博創還是國家信息安全漏洞庫（CNNVD）技術支撐單位、海南省網絡安全應急技術支撐單位、廣州市應急聯動機構支撐單位。