MISC - 第二天(wireshark,base64解密图片,zip文件伪加密,LSB二进制最低位,ARCHPR工具)
前言
- 各位师傅大家好,我是qmx_07,今天给大家讲解杂项
乌镇峰会种图
- 使用了stegsolve工具,查看更多信息
- 发现flag信息
- 更改为html后缀
- flag{97314e7864a8f62627b26f3f998c37f1}
wireshark
- 看题目是 分析pacp数据包,通过网站登录 验证,通过post方式进行提交数据
- 介绍:网络封包分析工具,可以设置各种数据包过滤规则
- 设置过滤条件http.request.method == POST 寻找以post方式提交的数据包
- flag{ffb7567a1d4f4abdffdb54e022f8facd}
知识点讲解
- 通过 url 地址栏访问的数据,通常是以GET方式访问
- 通过登录框 账号、密码验证 传输到后端校验数据,这种通常是以POST方式访问
N种方式解决
- 下载附件后,发现是个exe程序,运行没有任何效果,尝试拖拽到WinHex查看
winHex
- 介绍:磁盘编辑工具,支持十六进制编辑,数据格式转换
- 发现exe文件头部是data:image/jpg;base64
- 印象中 jpg图片,似乎不是base64加解密的,尝试数据解密看看
- base64加解密网站:https://onlinetools.com/image/convert-base64-to-image
- 通过base64加解密,出现一个二维码,扔到QR research检索看看
- flag{dca57f966e4e4e31fd5b15417da63269}
基础破解
- 看题目说明 好像是压缩包暴力破解
ARCHPR
- 介绍:支持多种文件格式 ZIP、RAR、ACE等常见的压缩文件,多种破解方法:暴力破解,字典破解,掩码破解
- 设置口令长度
- 破解密码,为:2563
- 64编码 尝试解密
flag{70354300a5100ba78068805661b93a5c}
文件中的秘密
- 附件是一张图片,尝试stegsolve工具检索相关信息
- 发现flag信息
flag{870c5a72806115cb5439345d8b014396}
LSB
- 打开附件,发现了一张图片,尝试使用stegsolve工具检索相关信息
- 通过题目描述,可能与最低有效位有关,可能使用LSB算法来隐藏信息
- 将Red、Green、Blue全部设置为0,使用LSB将二进制最低位提出,保存png图片
- 使用QR research工具检索
- flag{1sb_i4_s0_Ea4y}
知识点讲解
- 最低有效位(Least Significant Bit):
一个二进制数中的每一位都有其权重,最低有效位是指在一个二进制数中,权重最低、对数值影响最小的那一位。 - 例如,对于二进制数 “1011”,最右边的 “1” 就是最低有效位。
- 在数据处理、加密、信息隐藏等领域经常会涉及到对最低有效位的操作。
- 比如在图像隐写术中,LSB 算法就是利用图像像素值的最低有效位来隐藏信息
ZIP伪加密
- 将09 改为 00
- flag{Adm1N-B2G-kU-SZIP}
知识点讲解
了解zip包的基本构造
- 压缩源文件数据区标识:即当头文件是504B0304时,则表示文件类型为zip压缩包。
- 第一个全局方式位标记:即下图中在数据区标识后两位的0900,这个是判断文件有无加密。
- 压缩源文件目录区标识:即下图中出现的504B0102。
- 第二个全局方式位标记:即下图中在目录区标识后四位的0900,这个是判断文件是否进行了伪加密。
- 压缩源文件目录结束标识:即为504B0506时,标识目录区结束。
判断zip压缩包是否为伪加密
- 无加密
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为00 00
- 伪加密
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00
- 真加密
压缩源文件数据区的全局加密应当为09 00
且压缩源文件目录区的全局方式位标记应当为09 00
总结
- 我们介绍了wireshark的使用,http流量包的相关知识,winHex工具,base64加解密,zip文件的伪加密,LSB二进制最低位,以及ARCHPR暴力破解工具