CTF中的五种题型：

正式开始之前，我们需要先来了解下CTF中主要有哪些题型，当然，这些只是课前拓展，大家完全可以直接跳到“MISC详解”部分：

PWN，Reverse偏重对汇编,逆向的理解

Crypto偏重对数学，算法的深入学习，也要有脚本编写能力

Web偏重于对技巧沉淀，快速搜索能力的挑战

Misc则更为繁杂，所有与计算机安全挑战相关的都在其中，也会包含很多脑洞

PWN（二进制安全）：

Pwn是一个黑客语法的俚语词，是指攻破设备或者系统。发音类似“砰”，对黑客而言，
这就是成功实施黑客攻击的声音——砰的一声，被“黑”的电脑或手机就被你操纵了。

CTF pwn中的目标是拿到flag，一般是在Linux平台下
通过二进制/系统调用等方式编写漏洞利用脚本exp来获取对方服务器的shell，
然后get到flag。

 Reverse（逆向）:

涉及 Windows、Linux、Android 平台的多种编程技术，
要求利用常用工具对源代码及二进制文件进行逆向分析，
掌握 Android 移动应用 APK 文件的逆向分析，
掌握加解密、内核编程、算法、反调试和代码混淆技术。

 Crypto（密码学）:

密码学（Cryptography）一般可分为古典密码学和现代密码学。
古典密码学，作为一种实用性艺术存在，其编码和破译通常依赖于设计者和敌手的创造力与技巧，
并没有对密码学原件进行清晰的定义。古典密码学主要包含以下几个方面：
1. 单表替换加密（Monoalphabetic Cipher）
2. 多表替换加密（Polyalphabetic Cipher）
3. 其他各种奇奇怪怪的加密方式

现代密码学起源于 20 世纪中后期出现的大量相关理论，
1949 年香农（C. E. Shannon）的经典论文标志着现代密码学的开始。
现代密码学主要包含以下几个方面：
1. 对称加密（Symmetric Cryptography），以 DES，AES，RC4 为代表。
2. 非对称加密（Asymmetric Cryptography），以 RSA，椭圆曲线加密为代表。
3. 哈希函数（Hash Function），以 MD5，SHA-1，SHA-512 等为代表。
4. 数字签名（Digital Signature），以 RSA 签名，DSA 签名为代表。

 Web（网络安全）:

在 CTF 竞赛中，WEB 也是占比重很大的一个方向之一，WEB 类的题目种类繁多，
知识点细碎，时效性强，能紧跟时下热点漏洞，贴近实战。

WEB 类的题目包括但不限于：SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造、
文件上传、文件包含、框架安全、PHP 常见漏洞、代码审计等。

Misc（安全杂项）:

Misc 是英文 Miscellaneous 的前四个字母，杂项、混合体、大杂烩的意思。

Recon（信息搜集）
主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧

Encode（编码转换）
主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式

Forensic && Stego（数字取证 && 隐写分析）
隐写取证是 Misc 中最为重要的一块，包括文件分析、隐写、内存镜像分析和流量抓包分析等等，
涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件，灵活利用搜索引擎获取所需要的信息等等。

Misc详解：

目录

CTF中的五种题型：

PWN（二进制安全）：

 Reverse（逆向）:

 Crypto（密码学）:

 Web（网络安全）:

Misc（安全杂项）:

Misc详解：

文件/图片操作与隐写

文件类型识别：

1. file命令查看文件类型及后缀名（Linux）：

 2.Winhex查看文件的文件头（Windows）:

 3.文件头残缺/错误：

文件分离操作：

1. binwalk命令（自动分离）：

2. foremost命令（自动分离）：

3. dd命令（手动分离）：

 文件合并操作：

1.Linux系统中合并文件：

 2.Windows系统中合并文件：

文件内容隐写：

 图片内容隐写：

图片混合

压缩文件分析：

伪加密：

暴力破解加密密码：

暴力破解实战演练：

 流量包文件分析：

wireshark常用过滤命令：

两个例题：

例题一，BUUCTF中搜索“wireshark”即可找到：

 例题二：BUUCTF中搜索“数据包中的线索”

图片隐写 ：

 例题---隐写在图片的属性中：

 例题---隐写图片的大小：

​编辑

 例题---隐藏在动图之中：

---

文件/图片操作与隐写

---

文件类型识别：

1. file命令查看文件类型及后缀名（Linux）：

当文件没有文件扩展名，或者具有文件扩展名但无法正常打开时，可以根据识别到的文件类型对文件扩展名进行对应修改，从而使文件能够正常打开。

使用场景:不知道后缀名，无法打开文件

──(kali㉿kali)-[~/Documents/files/shells]
└─$ file tmp
tmp: ASCII text

---

 2.Winhex查看文件的文件头（Windows）:

在Windows系统下，可以借助winhex这个软件来查看文件的文件头，并根据文件头来判断文件类型：（winhex软件以及另外一款功能相同的工具010 Editor见本文资源链接）

https://download.csdn.net/download/weixin_52796034/88488247

winhex的下载链接https://download.csdn.net/download/weixin_52796034/88488247

010Editor的下载链接https://download.csdn.net/download/weixin_52796034/88488247

 3.文件头残缺/错误：

一般情况下，文件无法正常打开通常有两种原因：文件头部残缺和文件头部字段错误。对于文件头部残缺的情况，可以使用 WinHex 程序来添加相应的文件头信息。而对于头部字段错误的情况，可以尝试找到一个同类型的文件，将其作为替换文件来恢复文件的正常打开。

---

文件分离操作：

1. binwalk命令（自动分离）：

Binwalk是一个在Linux下用于分析和分离文件的工具，它能够快速判断文件是否由多个文件合并而成，并将其进行分离。如果分离成功，会在目标文件所在的目录下生成一个名为"文件名_extracted"的文件夹，里面存放着分离后的文件。

分析文件：binwalk filename

分离文件：binwalk -e filename

2. foremost命令（自动分离）：

如果binwalk无法正确分离出文件，可以使用foremost，将目标文件复制到kali中，成功执行后，会在目标文件的文件目录下生成我们设置的目录，目录中会按文件类型分离出文件。

该命令有的kali没有自带，可能需要额外下载：

sudo apt install foremost

用法： 

foremost        filename        -o        output-directory

 但是binwalk和foremost只能分离像（混合文件=文件1+文件2）的形式，像（混合文件=文件1a+问文件2b+文件1b+文件2a）这样的形式就完全无能为力了，这时就需要我们手动分离：

3. dd命令（手动分离）：

当无法使用自动工具正确分离文件时，可以借助 dd 命令手动实现文件分离。

如果一个文件是由多个文件混合形成的，一般在文件中会出现“PK”标识：

"PK" 值通常表示一个压缩文件的标识，特别是在ZIP格式的文件中。ZIP文件是一种常见的压缩文件格式，用于将多个文件和文件夹打包成单个文件。ZIP文件的文件头包含 "PK" 字符，以及一些元数据，用于标识该文件是一个ZIP文件。

格式：

dd if=源文件 of=目标文件名 bs=一块多少字节 count=读取多少块 skip=跳过多少块

参数说明：

if=file      #输入文件名，缺省为标准输入。

of=file      #输出文件名，缺省为标准输出

bs=bytes     #同时设置读写块的大小为bytes ，可代替ibs和obs。

count        #总共要读取count个块

skip=blocks  #从输入文件开头跳过blocks 个块后再开始复制。

---

dd命令用法示例：

假如有一个名为abc的文件，内容为

──(kali㉿kali)-[~/Documents/files/shells]
└─$ cat abc
abcdefgABCDEFG

现在我们想要一个名为abc1的文件，内容是abc的前5个字符：

┌──(kali㉿kali)-[~/Documents/files/shells]
└─$ dd if=abc of=abc1 bs=5 count=1
输入了 1+0 块记录
输出了 1+0 块记录
5 字节已复制，0.000203741 s，24.5 kB/s

┌──(kali㉿kali)-[~/Documents/files/shells]
└─$ cat abc1
abcde

 再来生成一个名为abc2的文件，内容是abc中除了开头两个字符和末尾两个字符的所有字符：

┌──(kali㉿kali)-[~/Documents/files/shells]
└─$ dd if=abc of=abc2 bs=2 count=5 skip=1
输入了 5+0 块记录
输出了 5+0 块记录
10 字节已复制，0.000153137 s，65.3 kB/s

┌──(kali㉿kali)-[~/Documents/files/shells]
└─$ cat abc2
cdefgABCDE

4.winhex（手动分离） 

除了使用 dd 命令之外，还可以通过使用 WinHex 工具来手动分离文件。只需将目标文件拖放到 WinHex 中，然后定位到需要分离的部分，最后进行复制即可完成操作。

使用场景：windows下利用winhex程序对文件进行手动分离

WinHex的下载链接https://download.csdn.net/download/weixin_52796034/88488147

 文件合并操作：

1.Linux系统中合并文件：

将 abc abc1 abc2 合并为ABC:

cat 需要合并的文件 > 输出的文件名

──(kali㉿kali)-[~/Documents/files/shells]
└─$ cat abc abc1 abc2 > ABC

┌──(kali㉿kali)-[~/Documents/files/shells]
└─$ cat ABC
abcdefgABCDEFGabcdecdefgABCDE

 Linux系统中计算文件MD5：

┌──(kali㉿kali)-[~/Documents/files/shells]
└─$ md5sum ABC
5470561a95c8a39355a5f373d64f4b1f  ABC

---

 2.Windows系统中合并文件：

注意下面的命令不要在win11的powershell中执行！

在命令提示符中执行：
D:\SRCs> copy /B abc.txt+abc1.txt+abc2.txt ABC
abc.txt
abc1.txt
abc2.txt
已复制         1 个文件。

 Windows系统中计算文件MD5：

D:\SRCs>certutil -hashfile ABC md5
MD5 的 ABC 哈希:
5470561a95c8a39355a5f373d64f4b1f
CertUtil: -hashfile 命令成功完成。

 可以发现ABC在Linux和Windows中的MD5值是一致的，这表明文件完全一致

---

文件内容隐写：

文件内容隐写，就是直接将KEY以十六进制的形式写在文件中，通常在文件的开头或结尾部分，分析时通常重点观察文件开头和结尾部分。如果在文件中间部分，通常搜索关键字KEY或者flag来查找隐藏内容。

在Windows系统中，通常将要识别的文件使用winhex打开，查找具有关键字或明显与文件内容不和谐的部分---通常优先观察文件首部和尾部，再搜索flag或key等关键字。

---

 图片内容隐写：

图片混合

图片混合也就是把两张图片重叠在一起，由于颜色的重叠或者其他一些因素，我们只能看到其中的一张图片，达到的这种效果就相当于隐藏了另一张图片。

这时我们就需要借助工具来对混合后的图片进行分离：Stepsolve.jar(本文的资源链接里有哦)

在对应目录的命令行中运行（java -jar Stepsolve.jar）

这里得到的二维码既可以使用手机扫描，也可以借助电脑端软件来扫描，这里推荐使用CQR.exe(资源链接里有)

StepSolve的下载链接https://download.csdn.net/download/weixin_52796034/88488531

CQR的下载链接https://download.csdn.net/download/weixin_52796034/88488624

---

压缩文件分析：

伪加密：

如果压缩文件是加密的，或文件头正常但解压缩错误，此时应首先尝试文件是否为伪加密(就是设置为加密状态，但是没有设置加密密码)。zip文件是否加密是通过标识符来显示的，在每个文件的文件目录字段有一位专门标识了文件是否加密，将其设置为00时表示该文件未加密，

从文件头的第一个字符开始计算，第九第十个字符为加密字段，将其设置为0000即可变成无加密状态。

1.使用winhex打开文件搜索16进制504B0102（ZIP压缩文件的头字段，见本文“文件类型识别”部分），可以看到加密文件的文件头字段：

 2.从50开始计算，第九第十个字符为加密字段，将其设置为0000即可变成无加密状态。

暴力破解加密密码：

如果设置了加密密码，可以尝试借助工具进行暴力破解，本文使用的工具为 ARCHPR（Advanced Archive Password Recovery）：（该工具的压缩包可以在一方的个人空间找到）

下载链接：

ARCHPR的安装包https://download.csdn.net/download/weixin_52796034/88498385

Advanced Archive Password Recovery (ARCHPR) 是一个
灵活的，适用于 ZIP 和 RAR 档案的高度优化的口令恢复工具。
它可以恢复保护口令或将用所有流行的档案版本创建的加密
ZIP 和 RAR 档案解除锁定。

    支持所有版本的 ZIP/PKZip/WinZip、RAR/WinRAR 以及
ARJ/WinARJ 和 ACE/WinACE (1.x)。

 安装过程如下所示：

 其余的选项全部选“是”：

 安装完成后如图所示：

需要注意的是攻击类型中的“掩码”，攻击类型选择掩码时可以进行复杂的暴力破解，比如知道密码前3位是abc，后3位为数字，则在攻击类型选择掩码，在掩码处输入acb???，暴力范围选项选择所有数字，打开要破解的文件，点击破解。此时???的部分会被我们选择的暴力破解范围中的字符代替。 

暴力破解实战演练：

这里使用的题目来自BUUCTF----BUUCTF官网链接

 注册并登陆后在“练习场”中选择MISC－－－rar

 

 将题目附件下载后得到一个未加密的压缩包，解压后的到一个用4位纯数字加密的压缩包，注意，要先指定如下所示的各个选项后，再点击“打开”，选择需要破解的压缩包：

 输入解压密码后成功获取FLAG：

 

 流量包文件分析：

针对流量包的文件分析一般需要借助wireshark网络分析器来进行，再开始之前，我们需要对 wireshark的常用过滤命令有所了解，从而利用wireshark本身的强大的报文过滤器，帮助我们筛选出想要的报文：

wireshark常用过滤命令：

1.过滤IP，如源IP或者目标 x.x.x.x

ip.src eq x.x.x.x or ip.dst eg x.x.x.x  或者  ip.addr eq x.x.x.x

2.过滤端口

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80  只显tcp协议的目标端口为80

tcp.srcport == 80  只显tcp协议的源端口为80

tcp.port >= 1 and tcp.port <= 80

3.过滤协议

tcp/udp/arp/icmp/http/ftp/dns/ip.....

4.过滤MAC

eth.dst  ==  A0:00:00:04:c5:84  过滤目标mac

5.包长度过滤

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据)，不包括tcp本身

ip.len == 94 除了以太网头固定长度14，其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度，从eth开始到最后

6.http模式过滤

http.request .method == “GET”

http.request .method == “POST”

http.request.uri  == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

http.request.method == “GET” && http contain “User-Agent:”

http contains “flag”

http contains “key”

tcp contains “flag”

两个例题：

下面一方借助两个例题来向大家讲解进行流量包分析时的常用手段：

例题一，BUUCTF中搜索“wireshark”即可找到：

 下载附件后的到一个后缀为“pcap”的文件，该文件可以用wireshark直接打开：

 在过滤体检这里输入 http contains "flag" 过滤出所有包含“flag”的HTTP包：

 但是虽然过滤出符合条件的包了，我们还是需要一点点查看包的内容，这里不必这么麻烦，我们可以直接“追踪流”：

 最终获得本题的flag：

flag{ffb7567a1d4f4abdffdb54e022f8facd}

 例题二：BUUCTF中搜索“数据包中的线索”

这一题的附件是一个“.ocapng”文件，同样可以用wireshark 直接打开：

 先来试试能否像例题一那样直接过滤内容找到答案：

http contains "flag"
http contains "key"
http contains "ctf"

发现不能直接搜索到答案，那么就只能针对特定协议进行分析啦————

发现HTTP请求中出现了一个非常可疑的文件名“分析”：

 接下来查看HTTP流：

 在返回的一大串数据的末尾有一个等号，怀疑这大段数据使用了BSAE64编码，然而一般的网站/工具无法解码这么长的base64编码，这里推荐一个网站：

 戳我将长长的base64编码变成图片吧https://the-x.cn/zh-cn/encodings/Base64.aspx

 

 路飞赛高~~~~~~

flag{209acebf6324a09671abc31c869de72c}

图片隐写 ：

先来介绍下图片隐写的几种常见套路：

1.正常图片和二维码图片混合在一起进行隐写

2.隐写在图片的属性中（查看图片属性）

3.隐写图片的大小（修改图片大小）

4.隐写图片的头部码（修改图片格式）

5.复合隐写（使用winhex打开图片，寻找flag）

 例题---隐写在图片的属性中：

 附件内容是一张路飞的图片，我们需要先查看一下图片的文件属性，发现flag被隐藏在了文件备注中：

 例题---隐写图片的大小：

题目提示我们图片的大小可能有问题：

 

 图片看起来有些太长了，我们需要用winhex以16进制打开该图片，然后修改该图片的长和宽(也就是将图片的长宽比改为1)：

 

 再打开修改后的图片得到flag：

flag{He1l0_d4_ba1}

 

 例题---隐藏在动图之中：

下载完附件后打开发现是一个GIF动图，并且在播放过程中有红色字符闪过，怀疑信息被隐藏在动图的某些帧里：

使用stegsolve.jar打开该动图（java -jar Stegsolve.jar）并使用analyse----frame browser来逐帧查看:

 最终得到flag：

flag{he11ohongke}