hacktricks/stego/stego-tricks.md

15 KiB

Truques de Stego

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. Experimente gratuitamente hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}


Extraindo dados de todos os arquivos

Binwalk

Binwalk é uma ferramenta para procurar arquivos binários, como imagens e arquivos de áudio, em busca de arquivos e dados ocultos embutidos.
Pode ser instalado com apt, e a fonte pode ser encontrada no Github.
Comandos úteis:
binwalk arquivo : Exibe os dados embutidos no arquivo fornecido
binwalk -e arquivo : Exibe e extrai os dados do arquivo fornecido
binwalk --dd ".*" arquivo : Exibe e extrai os dados do arquivo fornecido

Foremost

Foremost é um programa que recupera arquivos com base em seus cabeçalhos, rodapés e estruturas de dados internas. Acho especialmente útil ao lidar com imagens png. Você pode selecionar os arquivos que o Foremost irá extrair alterando o arquivo de configuração em /etc/foremost.conf.
Pode ser instalado com apt, e a fonte pode ser encontrada no Github.
Comandos úteis:
foremost -i arquivo : extrai dados do arquivo fornecido.

Exiftool

Às vezes, coisas importantes estão ocultas nos metadados de uma imagem ou arquivo; o exiftool pode ser muito útil para visualizar os metadados do arquivo.
Você pode obtê-lo aqui
Comandos úteis:
exiftool arquivo : mostra os metadados do arquivo fornecido

Exiv2

Uma ferramenta semelhante ao exiftool.
Pode ser instalado com apt, e a fonte pode ser encontrada no Github.
Site oficial
Comandos úteis:
exiv2 arquivo : mostra os metadados do arquivo fornecido

File

Verifique que tipo de arquivo você tem

Strings

Extraia strings do arquivo.
Comandos úteis:
strings -n 6 arquivo: Extrai as strings com comprimento mínimo de 6
strings -n 6 arquivo | head -n 20: Extrai as primeiras 20 strings com comprimento mínimo de 6
strings -n 6 arquivo | tail -n 20: Extrai as últimas 20 strings com comprimento mínimo de 6
strings -e s -n 6 arquivo: Extrai strings de 7 bits
strings -e S -n 6 arquivo: Extrai strings de 8 bits
strings -e l -n 6 arquivo: Extrai strings de 16 bits (little-endian)
strings -e b -n 6 arquivo: Extrai strings de 16 bits (big-endian)
strings -e L -n 6 arquivo: Extrai strings de 32 bits (little-endian)
strings -e B -n 6 arquivo: Extrai strings de 32 bits (big-endian)

cmp - Comparação

Se você tem alguma imagem/áudio/vídeo modificado, verifique se você pode encontrar o original exato na internet, então compare ambos os arquivos com:

cmp original.jpg stego.jpg -b -l

Extraindo dados ocultos em texto

Dados ocultos em espaços

Se você perceber que uma linha de texto está maior do que deveria, então algumas informações ocultas podem estar incluídas dentro dos espaços usando caracteres invisíveis.󐁈󐁥󐁬󐁬󐁯󐀠󐁴󐁨
Para extrair os dados, você pode usar: https://www.irongeek.com/i.php?page=security/unicode-steganography-homoglyph-encoder


Use Trickest para construir e automatizar fluxos de trabalho facilmente, utilizando as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje mesmo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Extraindo dados de imagens

identify

Ferramenta GraphicMagick para verificar qual tipo de imagem um arquivo é. Também verifica se a imagem está corrompida.

./magick identify -verbose stego.jpg

Se a imagem estiver danificada, você pode tentar restaurá-la simplesmente adicionando um comentário de metadados a ela (se estiver muito danificada, isso pode não funcionar):

./magick mogrify -set comment 'Extraneous bytes removed' stego.jpg

Steghide [JPEG, BMP, WAV, AU]

Steghide é um programa de esteganografia que esconde dados em vários tipos de arquivos de imagem e áudio. Ele suporta os seguintes formatos de arquivo: JPEG, BMP, WAV e AU. Também é útil para extrair dados embutidos e criptografados de outros arquivos.
Pode ser instalado com apt, e a fonte pode ser encontrada no Github.
Comandos úteis:
steghide info arquivo : exibe informações sobre se um arquivo possui dados embutidos ou não.
steghide extract -sf arquivo [--passphrase senha] : extrai dados embutidos de um arquivo [usando uma senha]

Você também pode extrair conteúdo do steghide usando a web: https://futureboy.us/stegano/decinput.html

Bruteforcing Steghide: stegcracker stegcracker <arquivo> [<wordlist>]

Zsteg [PNG, BMP]

zsteg é uma ferramenta que pode detectar dados ocultos em arquivos png e bmp.
Para instalá-lo: gem install zsteg. A fonte também pode ser encontrada no Github
Comandos úteis:
zsteg -a arquivo : Executa todos os métodos de detecção no arquivo fornecido
zsteg -E arquivo : Extrai dados com a carga útil fornecida (exemplo: zsteg -E b4,bgr,msb,xy nome.png)

stegoVeritas JPG, PNG, GIF, TIFF, BMP

Capaz de uma ampla variedade de truques simples e avançados, essa ferramenta pode verificar metadados de arquivos, criar imagens transformadas, forçar LSB e muito mais. Confira stegoveritas.py -h para ler sobre todas as suas capacidades. Execute stegoveritas.py stego.jpg para executar todas as verificações.

Stegsolve

Às vezes, há uma mensagem ou um texto oculto na própria imagem que, para visualizá-lo, deve ter filtros de cor aplicados ou alguns níveis de cor alterados. Embora você possa fazer isso com algo como GIMP ou Photoshop, o Stegsolve facilita. É uma pequena ferramenta Java que aplica muitos filtros de cor úteis em imagens; em desafios CTF, o Stegsolve muitas vezes economiza muito tempo.
Você pode obtê-lo no Github
Para usá-lo, basta abrir a imagem e clicar nos botões < >.

FFT

Para encontrar conteúdo oculto usando Fast Fourier T:

Stegpy [PNG, BMP, GIF, WebP, WAV]

Um programa para codificar informações em arquivos de imagem e áudio por meio de esteganografia. Ele pode armazenar os dados como texto simples ou criptografado.
Encontre-o no Github.

Pngcheck

Obtenha detalhes sobre um arquivo PNG (ou até descubra se na verdade é algo diferente!).
apt-get install pngcheck: Instale a ferramenta
pngcheck stego.png : Obtenha informações sobre o PNG

Algumas outras ferramentas de imagem que valem a pena mencionar

Extraindo dados de áudios

Steghide [JPEG, BMP, WAV, AU]

Stegpy [PNG, BMP, GIF, WebP, WAV]

ffmpeg

ffmpeg pode ser usado para verificar a integridade de arquivos de áudio, relatando várias informações sobre o arquivo, bem como quaisquer erros encontrados.
ffmpeg -v info -i stego.mp3 -f null -

Wavsteg [WAV]

WavSteg é uma ferramenta em Python3 que pode ocultar dados, usando o bit menos significativo, em arquivos wav. Também pode procurar e extrair dados de arquivos wav.
Você pode obtê-lo no Github
Comandos úteis:
python3 WavSteg.py -r -b 1 -s arquivo_de_som -o arquivo_de_saida : Extrai para um arquivo de saída (levando apenas 1 lsb)
python3 WavSteg.py -r -b 2 -s arquivo_de_som -o arquivo_de_saida : Extrai para um arquivo de saída (levando apenas 2 lsb)

Deepsound

Oculta e verifica informações criptografadas com AES-265 em arquivos de som. Faça o download na página oficial.
Para procurar informações ocultas, basta executar o programa e abrir o arquivo de som. Se o DeepSound encontrar algum dado oculto, você precisará fornecer a senha para desbloqueá-lo.

Sonic visualizer

Sonic visualizer é uma ferramenta para visualizar e analisar o conteúdo de arquivos de áudio. Pode ser muito útil ao enfrentar desafios de esteganografia de áudio; você pode revelar formas ocultas em arquivos de áudio que muitas outras ferramentas não detectarão.
Se estiver preso, sempre verifique o espectrograma do áudio. Site oficial

Tons DTMF - Tons de discagem

Outros truques

Comprimento binário SQRT - Código QR

Se você receber dados binários com um comprimento SQRT de um número inteiro, pode ser algum tipo de código QR:

import math
math.sqrt(2500) #50

Para converter os "1"s e "0"s binários em uma imagem adequada: https://www.dcode.fr/binary-image
Para ler um código QR: https://online-barcode-reader.inliteresearch.com/

Braille

https://www.branah.com/braille-translator

Referências

Encontre vulnerabilidades que são mais importantes para que você possa corrigi-las mais rapidamente. O Intruder rastreia sua superfície de ataque, executa varreduras proativas de ameaças, encontra problemas em toda a sua pilha de tecnologia, desde APIs até aplicativos da web e sistemas em nuvem. Experimente gratuitamente hoje.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥