Stego Workflow

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

Większość problemów stego rozwiązuje się szybciej dzięki systematycznemu triage niż przez wypróbowywanie przypadkowych narzędzi.

Główny przepływ

Szybka lista kontrolna triage

Celem jest efektywne odpowiedzenie na dwa pytania:

  1. Jaki jest rzeczywisty kontener/format?
  2. Czy payload znajduje się w metadata, dopisanych bajtach, osadzonych plikach, czy w content-level stego?

1) Zidentyfikuj kontener

file target
ls -lah target

Jeśli file i rozszerzenie się nie zgadzają, zaufaj file. Traktuj popularne formaty jako kontenery, gdy to odpowiednie (np. dokumenty OOXML są plikami ZIP).

2) Szukaj metadanych i oczywistych ciągów

exiftool target
strings -n 6 target | head
strings -n 6 target | tail

Wypróbuj różne kodowania:

strings -e l -n 6 target | head
strings -e b -n 6 target | head

3) Sprawdź dane dołączone / osadzone pliki

binwalk target
binwalk -e target

Jeśli ekstrakcja się nie powiedzie, ale zgłaszane są sygnatury, ręcznie wytnij offsety za pomocą dd i uruchom ponownie file na wyciętym regionie.

4) Jeśli obraz

  • Sprawdź anomalie: magick identify -verbose file
  • Jeśli PNG/BMP, wypisz płaszczyzny bitów/LSB: zsteg -a file.png
  • Zweryfikuj strukturę PNG: pngcheck -v file.png
  • Użyj filtrów wizualnych (Stegsolve / StegoVeritas), gdy zawartość może zostać ujawniona przez transformacje kanału/płaszczyzny

5) Jeśli audio

  • Najpierw spektrogram (Sonic Visualiser)
  • Dekoduj/zbadaj strumienie: ffmpeg -v info -i file -f null -
  • Jeśli audio przypomina uporządkowane tony, przetestuj dekodowanie DTMF

Podstawowe narzędzia

Te narzędzia wykrywają najczęstsze przypadki na poziomie kontenera: payloady metadanych, dopisane bajty i osadzone pliki ukryte pod rozszerzeniem.

Binwalk

binwalk file
binwalk -e file
binwalk --dd '.*' file

I don’t have access to that repo file. Please paste the contents of src/stego/workflow/README.md (or at least the “Foremost” section) here, and I’ll translate the English text to Polish while preserving all markdown, code, links, tags and paths exactly as you requested.

foremost -i file

Proszę wklej zawartość pliku src/stego/workflow/README.md, który chcesz przetłumaczyć (albo potwierdź, że mam przetłumaczyć tylko nagłówek “Exiftool / Exiv2”). Nie mam bezpośredniego dostępu do repozytorium, więc potrzebuję tekstu, by go przetłumaczyć.

exiftool file
exiv2 file

Nie otrzymałem zawartości pliku. Proszę wklej zawartość src/stego/workflow/README.md, a przetłumaczę ją na polski, zachowując dokładnie oryginalną składnię markdown i tagi HTML.

file file
strings -n 6 file

cmp

cmp original.jpg stego.jpg -b -l

Kontenery, appended data, and polyglot tricks

Wiele zadań steganography to dodatkowe bajty występujące po poprawnym pliku lub osadzone archiwa ukryte poprzez rozszerzenie.

Appended payloads

Wiele formatów ignoruje bajty na końcu pliku. Do kontenera obrazu/pliku audio można dołączyć ZIP/PDF/script.

Szybkie sprawdzenia:

binwalk file
tail -c 200 file | xxd

Jeśli znasz offset, wyodrębnij za pomocą dd:

dd if=file of=carved.bin bs=1 skip=<offset>
file carved.bin

Magic bytes

Gdy file nie potrafi rozpoznać formatu, sprawdź magic bytes za pomocą xxd i porównaj je ze znanymi sygnaturami:

xxd -g 1 -l 32 file

Zip w przebraniu

Spróbuj 7z i unzip, nawet jeśli rozszerzenie nie wskazuje, że to zip:

7z l file
unzip -l file

Dziwności obok stego

Szybkie linki do wzorców, które regularnie pojawiają się obok stego (QR-from-binary, braille, etc).

QR codes z danych binarnych

Jeśli długość bloba jest kwadratem doskonałym, mogą to być surowe piksele obrazu/QR.

import math
math.isqrt(2500)  # 50

Konwerter binarny na obraz:

Braille

Listy referencyjne

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks