记录一下我之前做misc时碰到的各种工具和小知识

###其中有些工具之后会出文章详细讲解。
###图片之后会补)

文件格式的文件头文件尾

JPEG (jpg)

文件头：FFD8FFE1

文件尾：FF D9

FFD8FFE000, .JPEG;.JPE;.JPG, “JPGGraphic File”

PNG (png)

文件头：89504E47

文件尾：49454E44 AE 42 60 82

GIF

文件头：47494638 文件尾：50 4B

GIF89a 474946383961 文件尾：50 4B

GIF87a 474946383761 文件尾：50 4B

TIFF (tif)

文件头：49492A00

RIFF

文件头：52494646

ZIP (zip)

文件头：504B0304

RAR (rar)

文件头：526172211A0700

文件尾：3D7B00400700

7z

文件头：377a

37 7A BC AF 27 1C

Wave (wav)

文件头：57415645

AVI (avi)

文件头：41564920

PDF

文件头：255044462D312E

HTML (html)

文件头：68746D6C3E

BMP

文件头：424D

MS Word/Excel (xls、doc、ppt、msi、msg)

文件头：D0 CF 11 E0

D0CF11E0

CAD (dwg)

文件头：41 43 31 30

Adobe Photoshop (psd)

文件头：38 42 50 53

XML (xml)

文件头：3C 3F 78 6D 6C

图片隐写工具

分离工具

binwalk -e xxxx

foremost xxxx

dd if=xxxx.jpg of=out.jpg skip=DECIMAL(配合binwalk使用) bs=1

Steghide

（检查图片隐写）

steghide info out.jpg查看嵌入信息

steghide extract -sf out.jpg -p passwd(可无密码)

Stegdetect

(检查jpg隐写)

stegdetect.exe -tjopi -s 10.0 [stego_file]

jsteg、outguess、jphide、invisible secrets

SNOW

（txt看不到数据可用，需密码）

snow.exe -p passwd -C out.txt

在线：Snow web-page encryption/decryption (misty.com)

Tweakpng

修改图片数据块

Jphs05

jpg隐写

Npiet

关键字：抽象

npiet.exe -tpic 图片

Outguess

加密：

outguess -k “my secret key” -d hidden.txt demo.jpg out.jpg

加密之后，demo.jpg会覆盖out.jpg,

hidden.txt中的内容是要隐藏的东西

解密：

outguess -k “my secret key” -r out.jpg out.txt (有key)

outguess -r out.jpg out.txt (无key)

-k 密码 -t 输出 -r 解压

解密之后，解密内容放在out.txt中

F5-steganography

binwalk检查无后门可用

java Extract 图片路径 (无key)

java Extract 图片路径 -p passwd (有key)

检查output.txt

Cloacked-pixel

python2 -m pip install numpy

加密：

python lsb.py hide big.png 1.txt 123456

hide:表示加密模式，big.png:待加密的png图片，1.txt:存放payload;

解密：

python lsb.py extract 1.png 3.txt 123456

extract:表示解密模式，1.png:待解密的png图片，3.txt:存放

File

linux查看文件格式

Zsteg

1.查看lsb数据

zsteg xxx.bmp

zsteg xxx.png

zsteg -a (文件名) #查看各个通道的lsb

2.检测zlib

#-b的位数是从1开始的

zsteg zlib.bmp -b 1 -o xy -v

3.提取该通道图片

zsteg -e b8,a,lsb,xy 文件.png -> out.png

SilentEye

图片、音频隐写

Free file Camouflage

图片伪装

Stegpy

stegpy是一种将编码信息隐写在图像和音频文件中的程序。使用Python编写

pip3 install stegpy

然后下载工具源码解压

sudo python3 setup.py install

stegpy 隐写内容 XXX.jpg 加密

stegpy xxxx.jpg -p 解密

ImageIN

文件隐藏在图片里的工具

OurSecret

关键词：秘密

文件加密，需要密码

LSB隐写

Stegsolve

LSB脚本

cloacked-pixel-master

python2 lsb.py extract 1.png 1.txt passwd (解密)

python2 lsb.py hide 1.png 1.txt passwd (加密)

音频隐写工具

SilentEye

图片、wav隐写

切换到「De-camouflage a file」选项卡，在“Jpeg image to de-camouflage”中浏览到要解除伪装的图片

并在“Destination directory-save decrypted file to:”选择要保存的位置。按“De-Camouflage!”解除伪装。

deepsound

wav隐写

Audacity

MP3Stego

Decode.exe -X -P passwd x.mp3

QSSTV

kali自带的音频解码工具

打开图片，然后start

WORD隐写

文字颜色、文字隐藏

PDF\html\bmp\txt隐写

wbstego4

1：点击Continue，进入开始阶段，decode（解码）

2：选择PDF文件

3：选择需要隐藏的载体文件，并进行隐藏

盲水印

WaterMark

BlindWaterMark

特征：相同的两张图片

python bwm.py decode 1.png 2.png flag.png

1.png为无水印原图

2.png为有盲水印的图片

flag.png为解出来的图片

图片拼接

Montage

montage ./flag/*.png -tile 16x16 -geometry +0+0 flag02.png

16* 16 为图片个数

与gaps结合使用

Gaps

gaps –image=flag02.png –size=64 –save

64 为小图片的宽和高

在线合并图片

在线合并JPG、PNG、SVG、WEBP图片 (cdkm.com)

二维码扫描

Qrazybox

二维码在线扫描工具

https://merricx.github.io/qrazybox/

二维码在线扫

ZXing Decoder Online

Pyzbar

批量解码处理脚本

Processing

二进制转二维码

CQR

二维码扫描工具

Gnuplot

坐标转换格式后画二维码工具

转换ASCII后使用

plot ‘1.txt’

二维码反色

打开photoshop

Ctrl + i

一键反色图片

各种二维码

QR Code

Data Matrix

PDF417码

汉信码

Aztec Code

Maxicode

QuickMark

一维码

无线电电波

RX-SSTV

切换虚拟声卡line1，robot36解码

QSSTV

WORD密码破解

Advanced Office Password Recovery

压缩包爆破

CRC32碰撞

跑脚本

明文攻击

ZIP

Ziperello

ARCHPR

Fcrack

kali自带

fcrackzip -b -c1! -l 13-13 -v -u message.zip

zip伪加密知识

RAR

ARCHPR

Rarcrack

使用一次后暂停，可编辑xml文件更改破解密码格式

rarcrack 1.zip -threads 12 -type rar

rarcrack 文件名 -threads 线程数(12最大) -type rar|zip|7z

rar伪加密小知识

其他工具

Exiftool

(linux查看文件属性)

Strings

(linux查询一个二进制文件中所含有的字符信息)

关于路由器的工具

RouterPass

路由器数据分析

关于微信的工具

WXDatConvter

微信DAT文件分析

Pyc隐写

Stegosaurus

记得要反编译一下啊

python stegosaurus.py -x [pyc_file]

pyc反编译在线

https://tool.lu/pyc/

Uncompyle6

kali里的pyc反编译工具

uncompyle6 -o test.py test.pyc

#没安装上（懒得安装）

Java反编译

JD-GUI

java -jar jd-gui-1.x.x.jar

这里的xx是指你的版本号

创建字典

crunch

crunch -o out.txt

pydictor

NTFS流

NTFS流隐藏文件工具

NtfsStreamsEditor

ws后缀文件在线

https://vii5ard.github.io/whitespace/

关于TXT文本的题目知识

整数分解

分解质因数工具 - 整数分解最多为70位 (numberempire.com)

整数分解成因数

取证

volatility基础命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66

python vol.py -f [image] ‐-profile=[profile][plugin] 命令

其中 -f 后面加的是要取证的文件， --profile 后加的是工具识别出的系统版本， [plugin] 是指使用的插件，其中默认存在一些插件，另外还可以自己下载一些插件扩充



imageinfo：显示目标镜像的摘要信息，这常常是第一步，获取内存的操作系统类型及版本，之后可以在 –profile 中带上对应的操作系统，后续操作都要带上这一参数

pslist：该插件列举出系统进程，但它不能检测到隐藏或者解链的进程，psscan可以

pstree：以树的形式查看进程列表，和pslist一样，也无法检测隐藏或解链的进程

psscan：可以找到先前已终止(不活动)的进程以及被rootkit隐藏或解链的进程

procdump：提取文件
	//procdump -p 1164 -D /home/kali 

cmdscan：可用于查看终端记录

notepad：查看当前展示的 notepad 文本（–profile=winxp啥的低版本可以，win7的不行，可以尝试使用editbox）

filescan：扫描所有的文件列表

linux配合 grep 命令进行相关字符定向扫描，如：grep flag、grep -E ‘png|jpg|gif|zip|rar|7z|pdf|txt|doc’

dumpfiles：导出某一文件(指定虚拟地址)

需要指定偏移量 -Q 和输出目录 -D

mendump：提取出指定进程，常用foremost 来分离里面的文件

需要指定进程-p [pid] 和输出目录 -D

editbox：显示有关编辑控件（曾经编辑过的内容）的信息

screenshot：保存基于GDI窗口的伪截屏

clipboard：查看剪贴板信息

iehistory：检索IE浏览器历史记录

systeminfo：显示关于计算机及其操作系统的详细配置信息（插件）

hashdump：查看当前操作系统中的 password hash，例如 Windows 的 SAM 文件内容(mimikatz插件可以获取系统明文密码)

lsadump：LSA解密

mftparser：恢复被删除的文件

svcscan：扫描 Windows 的服务

connscan：查看网络连接

envars：查看环境变量

dlllist: 列出某一进程加载的所有dll文件

hivelist: 列出所有的注册表项及其虚拟地址和物理地址

hivedump：打印出注册表中的数据
	//hivedump -o 注册表的virtual地址

timeliner: 将所有操作系统事件以时间线的方式展开

dumpregistry：提取文件
	dumpregistry -o 0xfffff8a005ef7010 -D ./

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

Volatility2的使用方法

(1) 获取系统基本信息
>>>python2 vol.py -f ../Target.vmem imageinfo


(2) 列出进程信息
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 pslist


(3) 提取某进程文件内容
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 memdump -p 516 -D ./


(4) 查看文件目录
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 filescan


(5) 提取某文件内容
>>>python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./


(6) 调用mimikatz抓取系统口令
>>> python2 vol.py -f ../Target.vmem --profile=Win7SP1x64 mimikatz

流量

WireShark

常用的过滤命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

//过滤ip
ip.src eq x.x.x.x && ip.dst eq x.x.x.x	

//过滤端口
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 	//只显tcp协议的目标端口为80
tcp.srcport == 80	//只显tcp协议的源端口为80
tcp.port >= 1 and tcp.port <= 80

//过滤协议
tcp/udp/arp/mysql/http/ftp/dns/ip

//过滤MAC
eth.dst == A0:00:00:04:C5:84	//过滤目标MAC

//包长度过滤
udp.length == 26	//这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7		//指的是ip数据包（tcp下面那块数据）,不包括tcp本身
ip.len == 94		//除了以太网头固定长度14，其他都算是ip.len，即从ip本身到最后
frame.len == 119	//整个数据包长度，从eth开始到最后

//http模式过滤
http.request.method == "GET"
http.request.method == "POST"
hhtp.request.uri == "/img/logo-edu.gif"
http contains "GET"		//常用
http contains "HTTP/1."
http.request.method == "GET" && http
http contains "flag"
http contains "key"
tcp contains "flag"

tcp.connection.syn	//扫大致端口开放

icmp
（1）诊断报文（类型：8，代码0；类型：0代码：0）；
（2）目的不可达报文（类型：3，代码0-15）；
（3）重定向报文（类型：5，代码：0--4）；
（4）超时报文（类型：11，代码：0--1）；
（5）信息报文（类型：12--18）。

1
2

查询网址使用CMS和版本号：Powered by

查看注册表

RegistryRecon

C:\Program Files (x86)\Arsenal Recon\Registry Recon

Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\calc.exe

进程的注册表位置

脚本

E:\CTF\脚本

md5.py

长度为672，正好能被32整除就能使用该脚本

onion

.onion

需要用tor洋葱浏览器访问