Misc思路总结

Misc Jul 13, 2020

通用

  1. 检查是否与其他文件拼在一起:使用 binwalk

  2. 检查后缀名、文件头是否正确

  3. 用 file 命令推断文件类型

  4. 用 strings 命令检查文件中所有的 ASCII 文本

图片

  1. 用 exiftool 查看图片 exif 信息

  2. 用 stegsolve 检查每个颜色通道是否正常

  3. 可能有隐形水印

png & bmp

  1. 高度或者宽度被修改:使用 pngcheck、tweakPNG

  2. LSB 或 MSB 隐写(可能有密码):使用 zsteg、stegsolve、py 脚本、silent eye

jpg

  1. f5 隐写

  2. steghide 隐写

  3. jsteg、outguess、jphide、invisible secrets 隐写:使用 stegdetect

  4. LSB 隐写(可能有密码):使用 silent eye

gif

  1. 用 stegsolve 查看每一帧的图片

  2. f5 隐写

  3. 分析每一帧的时间间隔:使用 identify 命令

压缩包

  1. 查看压缩包的注释

  2. 暴力破解(1-6 位数字即可)

  3. 字典破解密码(仅适于弱口令)

zip

  1. 检查是否是伪加密:使用 ZipCenOp

  2. CRC32 爆破(文件长度较小时):使用 py 脚本

  3. 已知明文攻击

rar

  1. 也可以实现伪加密(较不常见)

  2. 如果文件名也被加密:使用 rar2john 与 hashcat 爆破哈希值

音频

  1. 检查波形

  2. 检查频谱图

mp3

MP3Stego 隐写

wav

  1. steghide 隐写

  2. LSB 隐写(可能有密码):使用 silent eye

编码 & 加密

Base 系列

名称 字符集 特点
Base64 A-Z、a-z、0-9、+、/、= 最为常见
Base32 A-Z、2-7、=
Base16 A-F、0-9 相当于 16 进制
Base85 A-Z、a-z、0-9、!#$%&()*+-;<=>?@^_`{|}~ 也称为 ASCII85
Base58 A-Z(去掉 I、O)、a-z(去掉 l)、1-9、= 用于比特币

有时候需要自己在最后添加 “=”

在有许多行 Base64 编码的文本时,可能是 Base64 隐写

AES

Serpent 加密算法,点击此处解密

ASCII

ascii

摩尔斯电码

morse

JSFuck

字符集包括 [、]、(、)、!、+
形如

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()

可以直接在浏览器或者 node.js 中运行,点击此处进入编码网站

Brainfuck

字符集包括 +、-、[、]、<、>、.、,
形如

+++++ +++++ +++++ [->++ +++++ +++++ +++<] >++++ .<+++ ++++[ ->--- ----<]>--- ----- ----- -.<++ ++++[ ->--- ---<] >.<++ +++++ ++[-> +++++ ++++<]>+++ +++++ +++++ ++++. <++++ ++[-> ----- -<]>- --.<+ +++++ [->-- ----<]>--- -.<

点击此处解码

与佛论禅

开头为“佛曰”,点击此处解码

开头为“新佛曰”,点击此处解码

Word & Excel 文档

本质均为 zip 文件

  1. 后缀名改为.zip 并解压缩,搜索多余的文件

  2. 点击查看其中的 xml 文件,检查一下

  3. Ctrl+A看有没有隐藏文字

  4. 图片后面可能隐藏文字

  5. 点击 Word 中文件 -> 选项,勾选隐藏文字选项

其他

  1. 检查 NTFS 数据流(一定要用 WinRAR 解压)

  2. pyc 文件反编译:使用 uncompyle6、在线工具

标签

john_doe

Merak 铁菜鸡一枚

Great! You've successfully subscribed.
Great! Next, complete checkout for full access.
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.