HackTricksFlux de travail Stego
Tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP :HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
La plupart des problèmes stego se résolvent plus rapidement grâce à un triage systématique que par l’essai d’outils aléatoires.
Flux principal
Checklist de triage rapide
L’objectif est de répondre efficacement à deux questions :
- Quel est le véritable conteneur/format ?
- Le payload est-il dans metadata, appended bytes, embedded files, ou content-level stego ?
1) Identifier le conteneur
file target
ls -lah target
Si file et l’extension ne correspondent pas, faites confiance à file. Considérez les formats courants comme des conteneurs lorsque c’est approprié (par ex., les documents OOXML sont des fichiers ZIP).
2) Recherchez les métadonnées et les chaînes évidentes
exiftool target
strings -n 6 target | head
strings -n 6 target | tail
Essayez plusieurs encodages :
strings -e l -n 6 target | head
strings -e b -n 6 target | head
3) Vérifier la présence de données ajoutées / de fichiers intégrés
binwalk target
binwalk -e target
Si l’extraction échoue mais que des signatures sont signalées, carve manuellement les offsets avec dd et relancez file sur la carved region.
4) Si image
- Inspecter les anomalies :
magick identify -verbose file - Si PNG/BMP, énumérer les bit-planes/LSB :
zsteg -a file.png - Valider la structure PNG :
pngcheck -v file.png - Utiliser des filtres visuels (Stegsolve / StegoVeritas) lorsque le contenu peut être révélé par des channel/plane transforms
5) Si audio
- Commencer par le spectrogramme (Sonic Visualiser)
- Décoder/inspecter les streams :
ffmpeg -v info -i file -f null - - Si l’audio ressemble à des tons structurés, tester le décodage DTMF
Outils essentiels
Ils couvrent les cas fréquents au niveau du container : metadata payloads, appended bytes, et embedded files déguisés par l’extension.
Binwalk
binwalk file
binwalk -e file
binwalk --dd '.*' file
Foremost
foremost -i file
Exiftool / Exiv2
exiftool file
exiv2 file
fichier / chaînes
file file
strings -n 6 file
cmp
cmp original.jpg stego.jpg -b -l
Conteneurs, données ajoutées et polyglot tricks
De nombreux défis de steganography consistent en des octets supplémentaires après un fichier valide, ou des archives intégrées déguisées par leur extension.
Appended payloads
De nombreux formats ignorent les octets en fin de fichier. Un ZIP/PDF/script peut être ajouté à un conteneur image/audio.
Vérifications rapides:
binwalk file
tail -c 200 file | xxd
Si vous connaissez un offset, carve avec dd:
dd if=file of=carved.bin bs=1 skip=<offset>
file carved.bin
Octets magiques
Quand file est confus, cherchez les octets magiques avec xxd et comparez-les aux signatures connues:
xxd -g 1 -l 32 file
Zip déguisé
Essayez 7z et unzip même si l’extension n’indique pas zip:
7z l file
unzip -l file
Anomalies proches du stego
Liens rapides pour des motifs qui apparaissent régulièrement à proximité du stego (QR-from-binary, braille, etc).
Codes QR à partir d’un binaire
Si la longueur d’un blob est un carré parfait, il peut s’agir de pixels bruts pour une image/QR.
import math
math.isqrt(2500) # 50
Outil d’aide binaire-vers-image :
Braille
Listes de référence
Tip
Apprenez et pratiquez le hacking AWS :
Apprenez et pratiquez le hacking GCP :Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.