hacktricks/stego/stego-tricks.md

Trucos de Stego

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Descubre The PEASS Family, nuestra colección de exclusivos NFTs
• Obtén el oficial PEASS & HackTricks swag
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.

Usa Trickest para construir y automatizar flujos de trabajo con las herramientas de la comunidad más avanzadas del mundo.
Obtén acceso hoy:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Extrayendo datos de todos los archivos

Binwalk

Binwalk es una herramienta para buscar archivos binarios, como imágenes y archivos de audio, para encontrar archivos y datos ocultos incrustados.
Se puede instalar con apt, y la fuente se puede encontrar en Github.
Comandos útiles:
binwalk file : Muestra los datos incrustados en el archivo dado
binwalk -e file : Muestra y extrae los datos del archivo dado
binwalk --dd ".*" file : Muestra y extrae los datos del archivo dado

Foremost

Foremost es un programa que recupera archivos basados en sus encabezados, pies de página y estructuras de datos internas. Lo encuentro especialmente útil al tratar con imágenes png. Puedes seleccionar los archivos que Foremost extraerá cambiando el archivo de configuración en /etc/foremost.conf.
Se puede instalar con apt, y la fuente se puede encontrar en Github.
Comandos útiles:
foremost -i file : extrae datos del archivo dado.

Exiftool

A veces, cosas importantes están ocultas en los metadatos de una imagen o archivo; exiftool puede ser muy útil para ver los metadatos del archivo.
Puedes obtenerlo aquí
Comandos útiles:
exiftool file : muestra los metadatos del archivo dado

Exiv2

Una herramienta similar a exiftool.
Se puede instalar con apt, y la fuente se puede encontrar en Github.
Sitio web oficial
Comandos útiles:
exiv2 file : muestra los metadatos del archivo dado

File

Comprueba qué tipo de archivo tienes

Strings

Extrae cadenas del archivo.
Comandos útiles:
strings -n 6 file: Extrae las cadenas con una longitud mínima de 6
strings -n 6 file | head -n 20: Extrae las primeras 20 cadenas con una longitud mínima de 6
strings -n 6 file | tail -n 20: Extrae las últimas 20 cadenas con una longitud mínima de 6
strings -e s -n 6 file: Extrae cadenas de 7 bits
strings -e S -n 6 file: Extrae cadenas de 8 bits
strings -e l -n 6 file: Extrae cadenas de 16 bits (poco-endian)
strings -e b -n 6 file: Extrae cadenas de 16 bits (big-endian)
strings -e L -n 6 file: Extrae cadenas de 32 bits (poco-endian)
strings -e B -n 6 file: Extrae cadenas de 32 bits (big-endian)

cmp - Comparación

Si tienes alguna imagen/audio/video modificado, comprueba si puedes encontrar el original exacto en internet, luego compara ambos archivos con:

cmp original.jpg stego.jpg -b -l

Extrayendo datos ocultos en texto

Datos ocultos en espacios

Si encuentras que una línea de texto es más grande de lo que debería ser, entonces es posible que se haya incluido alguna información oculta dentro de los espacios utilizando caracteres invisibles. 󐁈󐁥󐁬󐁬󐁯󐀠󐁴󐁨
Para extraer los datos, puedes usar: https://www.irongeek.com/i.php?page=security/unicode-steganography-homoglyph-encoder

Usa Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas de la comunidad más avanzadas del mundo.
Obtén acceso hoy mismo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Extrayendo datos de imágenes

identify

Herramienta GraphicMagick para verificar qué tipo de imagen es un archivo. También verifica si la imagen está corrupta.

./magick identify -verbose stego.jpg

Si la imagen está dañada, es posible que pueda restaurarse simplemente agregando un comentario de metadatos (si está muy dañada, esto no funcionará):

./magick mogrify -set comment 'Extraneous bytes removed' stego.jpg

Steghide [JPEG, BMP, WAV, AU]

Steghide es un programa de esteganografía que oculta datos en varios tipos de archivos de imagen y audio. Admite los siguientes formatos de archivo: JPEG, BMP, WAV y AU. También es útil para extraer datos incrustados y cifrados de otros archivos.
Se puede instalar con apt, y la fuente se puede encontrar en Github.
Comandos útiles:
steghide info archivo : muestra información sobre si un archivo tiene datos incrustados o no.
steghide extract -sf archivo [--passphrase contraseña] : extrae datos incrustados de un archivo [usando una contraseña]

También se puede extraer contenido de steghide usando la web: https://futureboy.us/stegano/decinput.html

Fuerza bruta en Steghide: stegcracker stegcracker <archivo> [<lista de palabras>]

Zsteg [PNG, BMP]

zsteg es una herramienta que puede detectar datos ocultos en archivos png y bmp.
Para instalarlo: gem install zsteg. La fuente también se puede encontrar en Github
Comandos útiles:
zsteg -a archivo : Ejecuta todos los métodos de detección en el archivo dado
zsteg -E archivo : Extrae datos con la carga útil dada (ejemplo: zsteg -E b4,bgr,msb,xy nombre.png)

stegoVeritas JPG, PNG, GIF, TIFF, BMP

Capaz de una amplia variedad de trucos simples y avanzados, esta herramienta puede verificar los metadatos del archivo, crear imágenes transformadas, forzar LSB y más. Consulte stegoveritas.py -h para leer sobre todas sus capacidades. Ejecute stegoveritas.py stego.jpg para ejecutar todas las comprobaciones.

Stegsolve

A veces hay un mensaje o un texto oculto en la imagen misma que, para verlo, debe aplicar filtros de color o cambiar algunos niveles de color. Aunque se puede hacer eso con algo como GIMP o Photoshop, Stegsolve lo hace más fácil. Es una pequeña herramienta de Java que aplica muchos filtros de color útiles en imágenes; En los desafíos CTF, Stegsolve a menudo es un verdadero ahorro de tiempo.
Se puede obtener de Github
Para usarlo, simplemente abra la imagen y haga clic en los botones < >.

FFT

Para encontrar contenido oculto usando Fast Fourier T:

• http://bigwww.epfl.ch/demo/ip/demos/FFT/
• https://www.ejectamenta.com/Fourifier-fullscreen/
• https://github.com/0xcomposure/FFTStegPic
• pip3 install opencv-python

Stegpy [PNG, BMP, GIF, WebP, WAV]

Un programa para codificar información en archivos de imagen y audio a través de la esteganografía. Puede almacenar los datos como texto sin formato o cifrado.
Encuéntralo en Github.

Pngcheck

Obtenga detalles sobre un archivo PNG (¡o incluso descubra que en realidad es algo más!).
apt-get install pngcheck: Instale la herramienta
pngcheck stego.png : Obtenga información sobre el PNG

Otras herramientas de imagen que vale la pena mencionar

• http://magiceye.ecksdee.co.uk/
• https://29a.ch/sandbox/2012/imageerrorlevelanalysis/

Extracción de datos de audios

Steghide [JPEG, BMP, WAV, AU]

Stegpy [PNG, BMP, GIF, WebP, WAV]

ffmpeg

ffmpeg se puede utilizar para verificar la integridad de los archivos de audio, informando varios detalles sobre el archivo, así como cualquier error que encuentre.
ffmpeg -v info -i stego.mp3 -f null -

Wavsteg [WAV]

WavSteg es una herramienta de Python3 que puede ocultar datos, utilizando el bit menos significativo, en archivos wav. También puede buscar y extraer datos de archivos wav.
Se puede obtener de Github
Comandos útiles:
python3 WavSteg.py -r -b 1 -s soundfile -o outputfile : Extrae a un archivo de salida (tomando solo 1 lsb)
python3 WavSteg.py -r -b 2 -s soundfile -o outputfile : Extrae a un archivo de salida (tomando solo 2 lsb)

Deepsound

Oculta y verifica información cifrada con AES-265 en archivos de sonido. Descarga desde la página oficial.
Para buscar información oculta, simplemente ejecute el programa y abra el archivo de sonido. Si DeepSound encuentra algún dato oculto, deberá proporcionar la contraseña para desbloquearlo.

Sonic visualizer

Sonic visualizer es una herramienta para ver y analizar el contenido de archivos de audio. Puede ser muy útil cuando se enfrenta a desafíos de esteganografía de audio; puede revelar formas ocultas en archivos de audio que muchas otras herramientas no detectarán.
Si está atascado, siempre verifique el espectrograma del audio. Sitio web oficial

Tonos DTMF - Tonos de marcación

• https://unframework.github.io/dtmf-detect/
• http://dialabc.com/sound/detect/index.html

Otros trucos

Longitud binaria SQRT - Código QR

Si recibe datos binarios con una longitud SQRT de un número entero, podría ser algún tipo de código QR:

import math
math.sqrt(2500) #50

Para convertir los "1"s y "0"s binarios en una imagen adecuada: https://www.dcode.fr/binary-image
Para leer un código QR: https://online-barcode-reader.inliteresearch.com/

Braille

https://www.branah.com/braille-translator

Referencias

• https://0xrick.github.io/lists/stego/
• https://github.com/DominicBreuker/stego-toolkit

Usa Trickest para construir y automatizar fácilmente flujos de trabajo impulsados por las herramientas de la comunidad más avanzadas del mundo.
Obtén acceso hoy mismo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Obtén el swag oficial de PEASS y HackTricks
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.