Estenografía con Steghide - Ocultando texto en imágenes




"La esteganografía (del griego στεγανος (steganos):cubierto u oculto, y γραφος (graphos): escritura), trata el estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es decir, procura ocultar mensajes dentro de otros objetos y de esta forma establecer un canal encubierto de comunicación, de modo que el propio acto de la comunicación pase inadvertido para observadores que tienen acceso a ese canal."
 
   -WIKIPEDIA


¿Alguna vez has querido guardar algún mensaje dentro de alguna imágen, tal vez para que nadie lo sepa o que solo quienes puedan acceder lo hagan? Bueno, hoy te presento una herramienta de código libre que te servirá a efectos de ello.

 STEGHIDE

Steghide es una herramienta que permite realizar acciones tales como embeber un archivo de texto dentro de una imágen sin afectar a esta última.

El proyecto puede ser descargado desde:

http://steghide.sourceforge.net/

O desde los repositorios (en sistemas basados en Debian):
sudo apt-get install steghide

 



Una vez la herramienta está instalada, procederemos a embeber un archivo de texto. En este caso lo llamaremos "passwd.txt" y tendrá el contenido "Super Secreto".

Si iniciamos la herramienta con el comando:

steghide

veremos al final la forma de embeber el texto en la imágen. Haremos uso del comando:

steghide -cf hack.jpg -ef passwd.txt

"hack.jpg" es la imágen donde será embebido el .txt "passwd.txt". Luego es necesario introducir una contraseña la cual nos permitirá recuperar más tarde el contenido de la imágen.


¡Excelente! Podemos abir la imágen y no hay algo extraño en ella. Toca turno de hacer la prueba y extraer el fichero. Primero borraremos el archivo "passwd.txt". Después haremos uso del comando:

steghide extract -sf hack.jpg

para poder extraer el contenido. Hay que tener en mente la contraseña que introdujimos. Luego leemos el contenido del archivo con el comando:

cat passwd.txt

 

Happy Hacking.

By: Krh3rtz

__Exploiting vulnerabilities, creating new ways through__

Comentarios

Publicar un comentario

Entradas más populares de este blog

Android - Persistencia en sistemas móviles (reverse shell).

Imagen
DISCLAIMER: El contenido de este artículo tiene como propósito compartir información para fines educativos. No me hago responsable de cualquier acto ilícito realizado con la información siguiente. No vulneres sistemas ajenos a los tuyos. El conocimiento es libre. Cuando se realiza un Pentest, una de las cosas que nos atañen es el mantener la persistencia en los sistemas vulnerados y mucho más si estos son móviles. Es por ello que hoy veremos un pequeño script ".sh" que nos permitirá mantener conexión con el dispositivo remoto, y que exista una persistencia (reverse shell). Una vez vulnerada una terminal de Android, lo único que queda es correr un archivo en BASH que mande llamar de manera recursiva a la aplicación maliciosa. Se toma como ejemplo una shell creada con msfvenom  (de Metasploit).  El script: ---------------------------------------------------------------------------------------------------------------- while true:     do am start --user 0 -
Leer más

Crear pequeño cluster de servervidores en Virtualbox

Imagen
Saludos. Luego de algo de tiempo sin escribir un artículo hoy les comparto un pequeño script que realicé con la gran ayudad de los maravillosos manuales. El propósito inicial era automatizar un poco la creación de máquinas virtuales en un perqueño server de pruebas local. La idea es tener un pequeño cluster de servidores virtuales pero a falta de $ para una licencia de VMWare ESXI pues el software opensource puede ayudar. SERVIDOR Lo que se me ocurrió es utilizar una máquina con Debian, VirtualBox y un servidor SSH instalados. Hay muchas formas de implementar estas tecnologías solo les comparto algunas: * Nuestro equipo debe tener una ip fija. * Podemos agregar llaves para una conexión SSH sin contraseña (y a un usuario sin privilegios para luego escalar a root). * En caso de querer agregar seguridad podemos configurar un firewall como NetFilter (o un frontend como ufw) o la nueva generación de FW llamada Nftables (de la cual escribiré un
Leer más

Buffer Overflows POC - Análisis de Stack, su organización y explotación

Imagen
DISCLAIMER: El contenido de este artículo tiene como propósito compartir información para fines educativos. No me hago responsable de cualquier acto ilícito realizado con la información siguiente. No vulneres sistemas ajenos a los tuyos. El conocimiento es libre. He visto bastante información sobre este tema, aunque lamentablemente no en Español. Es por ello que les comparto una POC de las vulnerabilidades "Buffer Overflow" o desbordamientos de memoria. Para ello utilizaremos un código vulnerable el cual valida si se ha ingresado la contraseña correcta. Si es así, nos dará acceso a una shell de tipo "/bin/bash" en el sistema. De lo contrario, nos mostrará un mensaje de denegación de acceso, posteriormente terminando. La prueba de concepto está disponible en mi canal de youtube. Sin embargo, me gustaría que leyeran la siguiente información que les puede interesar. El código vulnerable estará disponible en mi github, sin embargo sería de mucha ayuda que intent
Leer más