文件分析-ZIP伪加密

最近在准备铁人三项赛的比赛,所以在实验吧上尝试着学习CTF,目前菜鸡一枚

我主要负责的是Web和安全杂项这一块,安全杂项的知识点较为薄弱,在实验吧练习的过程中遇到一个很有趣的题目,题目URL:

http://ctf5.shiyanbar.com/misc/LOL/LOL.pcapng

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

这个题目有很多大神已经给出了wirteup,在这里主要是想记录一下其中未接触到的东西,比如等会要说到的ZIP伪加密

将这个文件下载下来之后,显然这需要用wireshark进行流量分析,使用wireshark打开,发现整体上,可疑的流量就是两个上传的文件了

我们过滤一下http,可清楚看到两个上传的文件

学习CTF的经历-文件分析 Safe 第1张

我们追踪一下HTTP流,可以发现,里边上传的两个文件分别是LOL.docx和LOL.zip

导出分组字节,得到两个文件。

其中,LOL.docx里面是一张图片和一句话(这里的这个文件是一个误导,重点是在Zip文件)

我们把目光转向LOL.zip这个文件夹,解压发现是要密码的,可能这里很多人会认为解压密码隐藏在文档里面的图片里,然后去做图片隐写,但是这并不是一个正确的方向。

把zip文件丢入winhex中进行分析,在查阅了很多资料后,发现这是一个zip伪加密。

那什么是zip伪加密

首先,我们来看zip文件头协议。

一个 ZIP 文件由三个部分组成:

压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

实例

下面给出西普的一个实例:
学习CTF的经历-文件分析 Safe 第2张
压缩源文件数据区:
50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500
压缩源文件目录区:
50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001
压缩源文件目录结束标志:
50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00:ZIP 文件注释长度

综上,也就是说,当压缩源文件目录区的全局方式位标记被更改,就会限制Zip文件的可读性

所以,我们就会想到,修改后的话,就会改变Zip文件的可读性了

从百度上找到的资料说,全局方式位标记如果第二位是偶数,那么就不加密,反之,如果是奇数的话,就是加密的

那我们就可以通过WinHex将其修改,就能成功得到里面的文件了。

解压后,得到4个TXT文件,通过WinHex看其标志,发现是Png类型的文件,将其添加Png类型,得到4个图片,用PS拼接后得到一个二维码,扫码后就可以得到flag

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄