O que é o Steghide?

Steghide é uma ferramenta de esteganografia de código aberto que permite esconder arquivos secretos dentro de arquivos de imagem (JPEG, BMP) ou áudio (WAV, AU). O conceito principal é ocultar informações de forma que a existência da mensagem secreta não seja perceptível.

Conceito por Trás da Esteganografia

A esteganografia difere da criptografia porque:

  • Criptografia: Torna a mensagem ilegível, mas evidente (qualquer um vê que há uma mensagem codificada)
  • Esteganografia: Esconde a existência da mensagem (a mensagem secreta "caminha" disfarçada em um arquivo comum)

O Steghide funciona modificando os bits menos significativos (LSB - Least Significant Bits) dos dados do arquivo suporte (cover file), alterações estas que são imperceptíveis aos sentidos humanos.

Detalhes de Uso com Exemplos

1. Esconder um arquivo (Embed)

steghide embed -cf foto.jpg -ef arquivo_secreto.txt
  • -cf: Arquivo suporte (cover file)
  • -ef: Arquivo a ser escondido (embedded file)
  • Será solicitada uma senha para criptografar os dados

2. Extrair um arquivo (Extract)

steghide extract -sf foto.jpg
  • -sf: Arquivo steganográfico (stego file)
  • O Steghide tentará extrair dados ocultos pedindo a senha

3. Verificar se há dados ocultos

steghide info arquivo_suspeito.jpg
  • Mostra informações sobre arquivos embutidos (formato, algoritmo de criptografia)

4. Especificar senha diretamente

steghide embed -cf foto.jpg -ef secreto.txt -p "minhasenha"
steghide extract -sf foto.jpg -p "minhasenha"

Uso Prático

Passo 1: Extração do Arquivo Oculto

└─ $ steghide extract -sf HackerAccessGranted.jpg  
Enter passphrase:  
wrote extracted data to "id_rsa"
  • Foi extraída uma chave privada RSA (id_rsa) da imagem
  • A senha foi fornecida corretamente (não mostrada no output)

Passo 2: Conteúdo da Chave RSA

A chave extraída está criptografada com AES-128-CBC, indicado pelos cabeçalhos:

Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,7265FC656C429769E4C1EEFC618E660C

Passo 3: Quebra da Senha da Chave RSA

└─ $ ssh2john id_rsa > id_rsa.john

└─ $ john id_rsa.john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt
  • ssh2john: Converte a chave SSH para formato compatível com John the Ripper
  • john: Ferramenta de quebra de senhas por força bruta/dicionário
  • Senha encontrada: superpassword

Comandos que viriam a seguir para uso no ssh:

#Tornar a chave legível para SSH
chmod 600 id_rsa

#Conectar a um servidor SSH usando a chave
ssh -i id_rsa usuario@servidor-alvo.com

Tags

steghide

Notes

Some of this writeup is revised by AI. My own writing can be a bit clunky, so I get it to review certain parts to make things flow better and be a bit easier to read.

If you liked this content, please give me a respect on my Hack The Box profile. I'd be happy to hear I've helped you.

If anything here isn't clear, check out the cookbook. If you can't find the answer or need further clarification, please contact me at my e-mail.

Last updated: 2025-09-23