CTF-owe przemyślenia

Wczoraj nasza CTF-owa drużyna odegrała już drugi event :muscle:

Nasza kolektywna wiedza przyrasta - i powoli rodzi się potrzeba jej dokumentacji. Niniejszy wątek jest miejscem, w którym zbieramy do kupy przemyślenia z CTF-ów, w których bierzemy udział - przemyślenia apropos pewnych typów zadań, przydatne wnioski, narzędzia i ich wywołania itd.

1 Like

To ja może zacznę :smiley:

Stego tool cheatsheet:

Command line:

file - sprawdź typ pliku
strings - wyciągnij wszystkie drukowalne znaki
binwalk - wyizoluj wszystkie nagłówki znanych typów plików z danego pliku (np. pliki ukryte jeden w drugim)
exiftool sprawdź metadane pliku
java -jar stegsolv - narzędzie do steganografii wizaualnej (ma GUI)
pngcheck - sprawdź, czy plik jest prawidłowym png
zsteg - sprawdź ukryte dane w plikach png i bmp; wiele metod
stegcracker - narzęedzie do wyciągania zaszyfrowanych danych w obrazkach
stegdetect - wykrywanie steganografii w plikach .jpg na podstawie analizy statystycznej
stegbreak - Brute force cracker for JPG images. Claims it can crack outguess, jphide and jsteg.
stegoveritas - Kombajn do stego, wiele formatów plików i sposobu analizy zawartości


stegsnow - narzędzie do steganografii tekstowej (whitespace stego)

Web:

Wyszukiwarki obrazów: https://tineye.com/ | https://www.google.com/imghp | https://yandex.pl/images/
Analiza metadanych: http://exif.regex.info/exif.cgi
Analiza steganograficzna: https://georgeom.net/StegOnline/upload


Steg checklist: https://georgeom.net/StegOnline/checklist


Polecam również ten profil na githubie:

2 Likes

Moje obserwacje, bardziej ogólne:

  • Warto przyjrzeć się wszystkim miejscom, gdzie jest używany input użytkownika - czy to z formularza, czy z URL-a. Każdy z nich to potencjał na jakieś exploitowańsko
  • Jeżeli treść zadania ma jakąś podpowiedź w treści, w pierwszej fazie rekonesansu warto wyszukać frazy z tej podpowiedzi online, być może wyniki nakierują nas w jakiś sposób na rozwiązanie. Być może sam tytuł zadania zawiera już podpowiedź?
  • Jeżeli podajemy aplikacj serwerowej jakiś URL (lub jego kawałek), sprawdźmy co serwer robi z tym URL-em. Być może robi na niego zapytanie? Można postawić własny serwer i to sprawdzić w logach lub wykorzystać https://requestbin.io/
1 Like