学习CTF的经历-文件分析

文件分析-ZIP伪加密

最近在准备铁人三项赛的比赛，所以在实验吧上尝试着学习CTF，目前菜鸡一枚

我主要负责的是Web和安全杂项这一块，安全杂项的知识点较为薄弱，在实验吧练习的过程中遇到一个很有趣的题目，题目URL：

http://ctf5.shiyanbar.com/misc/LOL/LOL.pcapng

这个题目有很多大神已经给出了wirteup，在这里主要是想记录一下其中未接触到的东西，比如等会要说到的ZIP伪加密

将这个文件下载下来之后，显然这需要用wireshark进行流量分析，使用wireshark打开，发现整体上，可疑的流量就是两个上传的文件了

我们过滤一下http，可清楚看到两个上传的文件

我们追踪一下HTTP流，可以发现，里边上传的两个文件分别是LOL.docx和LOL.zip

导出分组字节，得到两个文件。

其中，LOL.docx里面是一张图片和一句话（这里的这个文件是一个误导，重点是在Zip文件）

我们把目光转向LOL.zip这个文件夹，解压发现是要密码的，可能这里很多人会认为解压密码隐藏在文档里面的图片里，然后去做图片隐写，但是这并不是一个正确的方向。

把zip文件丢入winhex中进行分析，在查阅了很多资料后，发现这是一个zip伪加密。

那什么是zip伪加密

首先，我们来看zip文件头协议。

一个 ZIP 文件由三个部分组成：

压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

实例

下面给出西普的一个实例：



压缩源文件数据区：

50 4B 03 04：这是头文件标记（0x04034b50）

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密）

08 00：压缩方式

5A 7E：最后修改文件时间

F7 46：最后修改文件日期

16 B5 80 14：CRC-32校验（1480B516）

19 00 00 00：压缩后尺寸（25）

17 00 00 00：未压缩尺寸（23）

07 00：文件名长度

00 00：扩展记录长度

6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500

压缩源文件目录区：

50 4B 01 02：目录中文件文件头标记(0x02014b50)

3F 00：压缩使用的 pkware 版本

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）

08 00：压缩方式

5A 7E：最后修改文件时间

F7 46：最后修改文件日期

16 B5 80 14：CRC-32校验（1480B516）

19 00 00 00：压缩后尺寸（25）

17 00 00 00：未压缩尺寸（23）

07 00：文件名长度

24 00：扩展字段长度

00 00：文件注释长度

00 00：磁盘开始号

00 00：内部文件属性

20 00 00 00：外部文件属性

00 00 00 00：局部头部偏移量

6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001

压缩源文件目录结束标志：

50 4B 05 06：目录结束标记

00 00：当前磁盘编号

00 00：目录区开始磁盘编号

01 00：本磁盘上纪录总数

01 00：目录区中纪录总数

59 00 00 00：目录区尺寸大小

3E 00 00 00：目录区对第一张磁盘的偏移量

00 00：ZIP 文件注释长度

综上，也就是说，当压缩源文件目录区的全局方式位标记被更改，就会限制Zip文件的可读性

所以，我们就会想到，修改后的话，就会改变Zip文件的可读性了

从百度上找到的资料说，全局方式位标记如果第二位是偶数，那么就不加密，反之，如果是奇数的话，就是加密的

那我们就可以通过WinHex将其修改，就能成功得到里面的文件了。

解压后，得到4个TXT文件，通过WinHex看其标志，发现是Png类型的文件，将其添加Png类型，得到4个图片，用PS拼接后得到一个二维码，扫码后就可以得到flag