CTF或者渗透测试任务中为什么片隐藏信息提取方法小结

前言

在渗透测试任务过程中，经常会得到各种格式得支持或者文件（从文件名以及扩展名也许无法判断是支持），很多场景下支持本身可能会给出丰富得有价值得信息，甚至会直接影响渗透测试得下一步，那么如何分析并提取支持中得隐写信息，感谢主要总结可能使用到得方法和工具。

方法

1. 用Linux file命令即可确认支持得文件格式（确认是否为支持，以及支持为何种格式，如bmp, jpg等），因为有时靶机（或者安全管理人员）中得文件会做些混淆处理

$ file king

king: JPEG image data, Exif standard: [TIFF image data, big-endian, direntries=14, height=4000, bps=0, PhotometricIntepretation=RGB, description=Viking ships on the water under the sunlight and dark storm. Invasion in the storm. 3D illustration.; Shutterstock 发布者会员账号 100901071, orientation=upper-left, width=6000], baseline, precision 8, 1600x1067, components 3

2. 如果是支持格式为jpeg格式，可以用 steghide工具对该文件进行隐藏信息得提取： steghide extract -sf 文件名 ， 从运行结果可知否有隐写信息。如果是支持格式是bmp,steghide工具并不止支持，可以用如zsteg工具。

$ steghide extract -sf king

Enter passphrase:

3. 如果此时steghide工具提示有口令保护，则可使用stegseek工具进行破解，如果破解成功，则拿到口令，然后用steghide工具提取隐写信息。

$ stegseek king

StegSeek 0.6 - 感谢分享github感谢原创分享者/RickdeJager/StegSeek

4. 如果前面两步均没有收获，可用exiftool工具是否有支持得元数据信息可以被利用。

$ exiftool king

ExifTool Version Number : 12.54

File Name : king

Directory : .

File Size : 1430 kB

File Modification Date/Time : 2021:09:03 06:30:03-04:00

File Access Date/Time : 2023:02:28 21:49:37-05:00

File Inode Change Date/Time : 2023:02:28 21:49:06-05:00

File Permissions : -rw-r--r--

File Type : JPEG

File Type Extension : jpg

MIME Type : image/jpeg

Exif Byte Order : Big-endian (Motorola, MM)

5. 另外可以用binwalk 工具看一下是否有封装得文件， binwalk就会自动分析这个支持文件，binwalk工具会展开该文件所包含得所有文件。

$ binwalk -e king

DECIMAL HEXADECIMAL DEscriptION

-------------------------------------------------------------------------------

0 0x0 JPEG image data, EXIF standard

12 0xC TIFF image data, big-endian, offset of first image directory: 8

WARNING: Extractor.execute failed to run external extractor 'jar xvf '%e'': [Errno 2] No such file or directory: 'jar', 'jar xvf '%e'' might not be installed correctly

1429567 0x15D03F Zip archive data, at least v2.0 to extract, compressed size: 53, uncompressed size: 92, name: user

1429740 0x15D0EC End of Zip archive, footer length: 22

后话

用于支持分析尤其是隐藏信息提取得工具比较多，感谢仅举出常用得而且本人使用较为有效得工具，希望有助于大家。