Tutoriales

Buscar y extraer archivos blob

[*]

EtherBlob Explorer es una útil para investigadores, analistas, jugadores de CTF o cualquier persona lo suficientemente curiosa como para apañarse varios tipos de archivos o datos significativos proporcionados por humanos en Ethereum Blockchain Network. Rebusca un rango proporcionado por el afortunado de ID de sillar o marcas de tiempo UNIX en una de las 5 redes disponibles: MainNet, Görli, Kovan, Rinkeby y Ropsten.

Para ver un caso de la vida existente, consulte este intento de 2017. La inmutabilidad de la condena de bloques efectivamente puede ser un armamento de doble filo.

instalación

Ejecute el subsiguiente comando:

$ pip instalar git + https: //github.com/litneet64/etherblob-explorer.git

Ahora se puede utilizar desde su CLI. ¡A continuación se muestran algunos ejemplos de uso normal!

propiedades

Redes

Busque en una de las cinco redes Ethereum:

  • MainNet
  • Gorli
  • Kovan
  • Rinkeby
  • Ropsten

Encuentra ubicaciones

Esta útil puede apañarse en los siguientes lugares, ya sea de forma individual o combinada en una misma ejecución:

  • Datos de entrada de transacciones: Busque en los datos de entrada de la transacción (ubicación de almacenamiento predeterminada).
  • Circunvalar datos de entrada: Rebusca en los datos de entrada del sillar.
  • Almacenamiento por anuencia: Busque primero la matriz de almacenamiento de un anuencia No Posiciones de 32 bytes que tratan todo como una condena de datos de gran tamaño.
  • A direcciones: Busque anexar direcciones ‘a’ como entrada posible [*] (Verifique primero los encabezados de los archivos y vuelva a repasar cuando se hayan recopilado todos los datos con Binwalk).

[*] Es posible acomodar datos en direcciones ‘a’ en la red Ethereum, ya que no se lleva a agarradera ninguna demostración cuando se envía a una dirección sin una secreto de cuenta asignada. Dicho esto, puede realizar transacciones en cualquier dirección para crear una carga útil en múltiples transacciones de hasta 20 bytes (es muy raro, pero además tiene algunos desafíos CTF).
Métodos de búsqueda y cuna

Todos estos métodos se pueden utilizar individualmente o en cualquier combinación:

  • Archivos incrustados: Busque archivos incrustados en datos con binwalk.
  • Encabezados de archivo / Magic Bytes: Busque con encabezados + bytes mágicos usando la utilidad de Linux file (Método standard).
  • Volcado de condena ASCII: Rebusca cadenas ASCII en los datos.
  • Búsqueda basada en entropía: Utilice la entropía de Shannon como útil de medición para apañarse texto en jerigonza natural (por ejemplo, UTF-8 Unicode), archivos encriptados / comprimidos o cualquier cosa que el afortunado considere factible con los límites de entropía especificados por el afortunado.

IMPORTANTE: Se utiliza el orden que se muestra aquí bajo el capó para descartar las búsquedas realizadas por otros métodos (por ejemplo, si el archivo tiene embedded files entonces no intentará apañarse con file headers, ascii string dump Todavía entropy), ya que probablemente no se encontrará falta útil si los métodos anteriores ya han tenido éxito.
diverso

  • Acepta marcas de tiempo UNIX (en sitio de ID de sillar) que se resuelven con las ID de sillar más cercanas comprometidas en estos momentos.
  • Guarde todos los datos de las transacciones visitadas en un archivo para su posterior revisión.
  • Guarde los registros mostrados por la CLI en un archivo para su posterior descomposición del archivo extraído.
  • Ignora los formatos de archivo proporcionados por el afortunado (no distingue entre mayúsculas y minúsculas) para la cuna y acepta subcadenas del formato de archivo completo para la registro negra.
  • Imprima métricas generales de progreso cada minuto (por ejemplo, cuántos bloques / transacciones se han analizado, cuántos bloques quedan) y además muestre algunas métricas interesantes al final de la ejecución presente.
  • Más funciones efectos se pueden encontrar en el manual (-h)!

usar

Casos de uso global

Búsqueda standard (búsqueda en transacciones a través de encabezados de archivo) en MainNet con secreto API en la ubicación de almacenamiento standard (.api-key) y entre estos dos ID de sillar (incluidos):

$ etherblob 4081599 4081600

Más búsquedas «in-through» (búsqueda de archivos incrustados + método de búsqueda regular) en la red goerli con una secreto en cualquier archivo:

$ etherblob -Kapi.key 3134050 3145570 -M -H -network goerli

Examine los encabezados de sillar y las transacciones al mismo tiempo y guarde los archivos extraídos en «extraídos»:

$ etherblob 4081599 4081600 –Bloques –Transacciones -D extraído /

Busque solo adentro de las direcciones ‘a’ en el rango de bloques especificados entre Jan 25 2021 19:00:00 y Jan 26 2021 19:00:00:

$ etherblob -t 1611601200 1611687600 direcciones

Busque cadenas solo en la memoria de contratos y para las primeras 4 posiciones de la matriz de almacenamiento (datos con un valía de 128 bytes):

$ Etherblob 3911697 3912697 -S – Contratos -C 4

Busque datos cifrados / comprimidos solo adentro de las transacciones (sin considerar otros formatos de archivo):

$ etherblob 4081599 4081600 – criptográfico

Encuentre archivos de entropía personalizados adentro de las transacciones mientras depositario las transacciones en un archivo:

$ etherblob 3911697 3912697 -E 4.0 5.0 -s

Solo genere cadenas ASCII sobre bloques y transacciones realizadas en Nochebuena (entre el 24 y el 25):

$ etherblob -t 1608836400 1608922800 – bloques – transacciones – cadenas

Búsqueda completa (lenta, espere muchos falsos positivos):

$ etherblob 4081599 4081600 -U -S -M -H – bloques – transacciones – direcciones – contratos

Casos de uso avanzados

¡En la wiki se pueden encontrar más explicaciones para casos de uso avanzados y cosas relacionadas!

Manual

Uso: quiragra de éter [-h] [–transactions] [–blocks] [–addresses] [–contracts][–network main,goerli,kovan,rinkeby,ropsten] [-H] [-M] [-U] [-E CUSTOM_ENTROPY CUSTOM_ENTROPY][–encrypted] [-S] [-C CONTRACT_POSITION] [-t] [-K API_KEY_PATH] [-k API_KEY] [-D OUTPUT_DIR][-o OUT_LOG] [-s] [-i [IGNORED_FMT [IGNORED_FMT …]]] [–version]start_block end_block
Utensilio para apañarse y extraer archivos blob en la red Ethereum.
Argumentos posicionales:
start_block Principio del rango de ID de sillar.
end_block Fin del rango de ID de sillar.
argumentos opcionales:
-h, –help Muestra este mensaje de ayuda y sale
–Transacciones Busque archivos blob en entradas de transacciones. Modo de búsqueda standard.
–Bloques Rebusca archivos blob en las entradas del sillar. Si está activado, la demostración de la entrada de la transacción se desactiva, a menos que
activado explícitamente.
Direcciones Busque archivos blob en direcciones de transacciones ‘a’, ya que cualquiera puede realizar transacciones con Ethereum
a cualquier dirección, incluso si no tiene un propietario asociado (todavía no es muy global). Si está activado, entonces
La demostración de entrada de la transacción está desactivada, a menos que se active explícitamente.
–Contratos Rebusca archivos blob en la memoria del anuencia. Si está activado, la demostración de entrada de transacciones está desactivada
a menos que se active explícitamente.
–Red principal, goerli, kovan, rinkeby, ropsten, -N principal, goerli, kovan, rinkeby, ropsten
Elija una red blockchain para apañarse. Las opciones disponibles son Main, Goerli (Görli), Kovan, Rinkeby
y Ropsten. MainNet es la red standard. No entre mayúsculas y minúsculas.
-H, -file-header Si está activado, busque formatos de archivo a través de Magic Bytes / encabezados de archivo en datos (desde bloques,
Transacciones o direcciones). Gestor de forma predeterminada a menos que además esté competente otro método.
-M, –embedded Si está activado, sondeo archivos incrustados sobre datos (de bloques, transacciones o direcciones)
binwalk. Desactivado de forma predeterminada, ya que el descomposición ahora lleva más tiempo.
-U, –unicode Si está seleccionado, intente extraer archivos con texto UTF-8 de los datos recopilados (bloques,
Transacciones, direcciones) usando la entropía de Shannon (entre 3.5 y 5.0), si no se puede ver falta más
El archivo se encuentra primero en estos datos. Da muchos falsos positivos.
-E CUSTOM_ENTROPY CUSTOM_ENTROPY, -custom-entropía CUSTOM_ENTROPY CUSTOM_ENTROPY
Defina sus propios límites de entropía (exiguo y mayor) para apañarse archivos / datos en los datos recopilados.
–Encriptado Si está activado, intente apañarse y ocasionar datos encriptados / comprimidos que se encontraron a través de otra búsqueda
Métodos (bloques, transacciones, direcciones) con Entropía de Shannon (entre 7.0 y 8.0) si no
Primero se encuentra otro archivo reconocible en estos datos.
-S, –strings Si está traumatizado, intente encontrar cadenas ASCII y guárdelas en archivos de los datos recopilados
(Bloques, transacciones, direcciones) si al principio no se encuentra ningún otro archivo reconocible para estos datos.
-C CONTRACT_POSITION, posición del anuencia CONTRACT_POSITION
Busque los detalles del anuencia hasta datar a la posición (N-1) en su matriz de almacenamiento. Posiciones
Contiene 32 bytes de datos. El conteo comienza en 0 y la posición predeterminada es la posición 15 (16 índices en
total) si no se especifica una posición definida por el afortunado.
-t, –timestamps Si está activado, los ID de sillar auténtico y final se interpretan como marcas de tiempo UNIX, que luego se resuelven
a los siguientes bloques comprometidos para esos momentos específicos.
-K API_KEY_PATH, –api-key-path API_KEY_PATH
Ruta al archivo con la secreto API de Etherscan para consultas. La ubicación de búsqueda predeterminada es ‘.api-key’.
-k API_KEY, -api-key API_KEY
Secreto de API de Etherscan como parámetro. Si se especifica, se ignora ‘–api-key-path’.
-D DIR_ SALIDA, -director_salida DIR_ SALIDA
Out-dir para archivos extraídos. El valía predeterminado es ‘ext_ sillar auténtico – sillar final’.
-o OUT_LOG, -out-log OUT_LOG
Fuera de archivo para registros. El valía predeterminado es ‘etherblob_ start block – end block .log’.
-s, -save transacciones
Si se activa, todas las transacciones y su información se almacenan en el archivo ‘transacciones_ sillar de inicio – final-
block .txt ‘
-I [IGNORED_FMT [IGNORED_FMT …]]–Ignored-fmt [IGNORED_FMT [IGNORED_FMT …]]Formatos de archivo ignorados para la cuna. Los formatos de archivo predeterminados ignorados / comunes son ‘Texto ISO-8859’ y
‘Texto ASCII extendido no ISO’. El formato de archivo ‘datos’ siempre se ignora. Acepta formato de archivo
Subcadenas y coincidencias independientemente del caso. ‘*’ es un tanteador de posición para ignorar todos los formatos de archivo.
–Version Muestra el número de lectura del software y sale
Repositorio oficial de GitHub ‘https://github.com/litneet64/etherblob-explorer’

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba