CyberChef es la mejor herramienta para cambiar y manipular datos. Esta «navaja suiza» basada en navegador fue creada por GCHQ para facilitar el trabajo con datos difíciles. Este artículo analiza sus características y beneficios, ya sea que trabaje en ciberseguridad, análisis forense digital o simplemente trabaje con datos todos los días.
CyberChef es la autoproclamada “navaja suiza cibernética” creada por GCHQ. Es una excelente herramienta para la conversión, extracción y manipulación de datos en un navegador web.
Todo el crédito para @GCHQ por crear esta herramienta. mirar
Tabla de Contenidos
Consejos generales
- Descarga CyberChef y ejecútalo completamente en el lado del cliente. No requiere conexión a Internet salvo para determinadas operaciones. De esta manera todos tus datos estarán seguros.
- No intente obligar a CyberChef a hacer algo que no puede hacer. Puede hacer muchas cosas, ¡pero no es un lenguaje de programación completo!
Expresiones regulares útiles
Dominar las expresiones regulares es clave para aprovechar al máximo la manipulación de datos en CyberChef (o cualquier trabajo de DFIR). Aquí hay algunas expresiones regulares a las que sigo volviendo.
Extraer datos codificados
- Extraer Base64:
[a-zA-Z0-9+/=]{30,}
- El «30» aquí es un número arbitrario y se puede ajustar según el guión.
Extraer hexadecimal: [a-fA-F0-9]{10,}
- También se puede ajustar a {32} (MD5), {40} (SHA1), {64}, SHA256 para capturar varios valores hash.
Extraer códigos de caracteres: [\d]{2,3}(,|’)
- En este ejemplo, extraerá códigos de caracteres en el formato (’30, 40, 50, 60′)
Mirando hacia adelante y mirando hacia atrás
- Revisión positiva:
(?<=foo)(.*)
- Extrae todo después de "foo", excluyendo "foo"
- Pensando en el futuro:
^.*(?=bar)
- Extraiga todo antes de "bar", excluyendo "bar"
- Combinación adelante/atrás:
(?<=')(.*?)(?=')
- Extrae todo lo que esté entre 'y'
Usando la API y CyberChef
CyberChef proporciona una operación de solicitud HTTP (consulte la Sección 22), que permite solicitudes HTTP a recursos externos. Muchas funciones no funcionan correctamente debido a la Política del mismo origen (SOP) o a la falta de configuración para compartir recursos entre orígenes. Los SOP son medidas de seguridad en los navegadores modernos que le impiden leer respuestas entre sitios a través de servidores permitidos explícitamente por CORS.Controlar Charla de @GlassSec sobre CyberChef Estos incluyen indicaciones para iniciar Chrome sin Internet Security para habilitar solicitudes HTTP a otras API restringidas como Virus Total.
aprende más haga clic aquí