安全攻防知識——CTF之MISC

前言：

本周技術分享将介紹安全攻防知識中的MISC部分。MISC，中文即雜項，包括隐寫、資料還原、腦洞、社會工程、壓縮包解密、流量分析驗證、與資訊安全相關的大資料等。讓我們一起來了解更多吧！

（一）檔案結構簡介

1.常見檔案格式

2.舉例

1）PNG格式檔案的檔案頭：89 50 4E 47 0D 0A 1A 0A 。

2）紅框内為Zip格式檔案的檔案尾。此檔案尾損壞将無法正常打開ZIP壓縮檔案。

3.檔案格式檢測方法

1、檢視檔案擴充名（可随意修改，不一定準确）。

2、使用支援16進制的文本工具檢視檔案頭。

Windows：Winhex 、 010Editor

Linux：Hexeditor、Hexdump指令

3、使用檔案識别工具。

Linux：file指令

4.常見檔案頭、檔案尾

JPEG (jpg)檔案頭：FFD8FF；檔案尾：FF D9

PNG (png)檔案頭：89504E47；檔案尾：AE 42 60 82

GIF (gif) 檔案頭：47494638；檔案尾：00 3B

TIFF (tif)檔案頭：49492A00

XML (xml)檔案頭：3C3F786D6C

HTML (html)檔案頭：68746D6C3E

Adobe Acrobat (pdf)檔案頭：255044462D312E

ZIP Archive (zip)檔案頭：504B0304；檔案尾：504B

TAR （tar.gz）檔案頭：1F8B0800

RAR Archive (rar)檔案頭：526172211A0700 C43D7B00400700

Wave (wav)檔案頭：57415645

AVI (avi)，檔案頭：41564920

MS Word/Excel (xls.or.doc)檔案頭：D0CF11E0

Adobe Photoshop (psd)檔案頭：38425053 Windows Bitmap (bmp) 檔案頭：424D

（二）隐寫

隐寫部分将介紹文檔、圖檔及音頻的隐寫方式。請看以下詳細介紹。

1. 文檔隐寫

1） word文檔隐寫：包括使用word的隐藏文字功能、轉換成壓縮包等方式。

2） pdf文檔隐寫：包括轉換成word、使用工具解密等方式。

2.圖檔隐寫

圖檔隐寫包括直接隐藏在屬性中修改圖層、修改寬高、 盲水印隐寫、LSB隐寫等方式。其中，LSB隐寫的原理就是圖檔中的像素一般是由三種顔色組成，即三原色(紅綠藍)，由這三種原色可以組成其他 各種顔色。在PNG圖檔存儲中,每個顔色就占有8bit，即有256種顔色，一共包含256的三次方顔色，即16777216中顔色。人類的眼睛可以區分約1,000萬種不同的顔色，剩下無法區分的顔色就有6777216。LSB隐寫就是修改了像素中的最低位，把一些資訊隐藏起來。PNG圖檔是一種無損壓縮，也隻有在無損壓縮或無壓縮的圖檔（bmp圖檔是一種無壓縮）上實作LSB隐寫。如果是jpg圖檔,就沒辦法使用lsb隐寫了。

LSB隐寫就是修改RGB顔色分量的最低二進制位，也就是最低有效位。每個像素可以攜帶3比特的資訊，10 進制的235表示的是綠色，是以我們在修改二進制中的最低位時，顔色依舊看不出有任何變化，進而達到隐藏資訊的目的。

将最低有效位替換為0和1，然後7位或8位一組組成新的ASCII碼。此外，工具隐寫包括jphs、stegdetect、steghide等方式。

3.音頻隐寫音頻隐寫方式包含隐藏摩斯密碼、工具隐寫（mp3steg）、頻譜圖等方式。

（三）壓縮包操作

主要以僞加密為主，還有暴力破解、字典破解、明文破解、crc32爆破等方式。其中，僞加密的操作方式如下顯示：

（四）流量分析

1. wireshark簡單使用

您可通過抓取本地ping流量或者抓取通路網頁資訊（get post 圖檔）後進行使用。詳細的過濾方法如下：

2.常用方法

1）導出流

2）追蹤流

（五）USB流量分析

1.USB接口簡介

通過監聽USB接口流量，可擷取鍵盤擊鍵，滑鼠移動與點選，儲存設備的明文傳輸通信，USB無線網卡網絡傳輸内容等。

USB協定資料部分在Leftover Capture Data域中。使用tshark指令将其單獨提取出來：

tshark.exe -r mouse.pcapng -T fields -e usb.capdata > usbdata.txt

2.鍵盤流量

鍵盤資料包的資料長度為8個位元組，擊鍵資訊集中在第3個位元組，每次擊鍵都會産生一個資料包。是以如果看到給出的資料包中的資訊都是8個位元組，并且隻有第3個位元組不為00，那麼幾乎可以肯定這是一個鍵盤流量。

3.滑鼠流量

不同的滑鼠抓到的流量不一樣，一般的滑鼠流量是四個位元組。第一個位元組表示按鍵訓示的左鍵和右鍵，第二個位元組表示水準位移，為正（小于127）是向右移動，為負（補碼負數，大于127小于255）是向左移動。第三個位元組表示垂直位移，為正（小于127）是向上移動，為負（補碼負數，大于127小于255）是向下移動。事實上，起作用的隻是三個相鄰的位元組。

（六）簡單的驗證分析

最後，您可通過磁盤恢複的方式進行簡單的驗證分析。在目前大賽中，驗證的占比率還是相對來說很大的。

（七）了解小星，了解星雲博創

星雲博創科技有限公司（簡稱“星雲博創”）成立于2016年，是國内新興的網絡安全産品、可信安全管理平台、專業安全服務與解決方案的綜合提供商。星雲博創設北京為北方總部，廣州為南方總部，并于成都、合肥、南昌、貴州、武漢、太原、哈爾濱等多個城市設立分支機構。同時，星雲博創為不斷完善客戶服務體系和應急響應體系，在全國10餘個省、市、自治區、直轄市建立三級服務支援中心，7×24小時接受客戶需求，及時提供标準一緻的安全服務。

作為一家以技術先導的企業，星雲博創始終堅持在網絡安全、資料安全、态勢感覺、等級保護、合規性安全管理等領域進行技術創新，利用安全分析、大資料分析、人工智能等技術，對網絡空間安全要素、安全風險進行深度挖掘與關聯分析，建構了多層次的縱深防禦體系，持續推出态勢感覺平台、靜态脫敏系統、終端安全監測系統等一系列優秀的安全産品和行業解決方案，廣泛應用于政府、營運商、醫療、教育、電力、能源等多個領域，讓風險無所遁形。

星雲博創已獲得ISO9001、ISO27001、 ISO20000管理體系認證，CMMI5軟體成熟度認證，資訊系統安全內建服務、資訊安全風險評估服務、軟體安全開發服務資質的CCRC二級認證，及安全運維服務資質、應急處理服務資質的CCRC三級認證。此外，星雲博創還是國家資訊安全漏洞庫（CNNVD）技術支撐機關、海南省網絡安全應急技術支撐機關、廣州市應急關聯機構支撐機關。