CTFmisc压缩包解题思路

注意&＃xff1a;wordx文件其实是一种zip

关于文件两个简单命令

• file命令&＃xff0c;根据文件头来识别文件类型
• strings&＃xff0c;输出文件中的可打印字符串

可以发现一些提示信息或特殊编码信息

strings filename

配合-o 参数获取所有ascii 字符偏移&＃xff0c;即字符串在文件中的位置

root&＃64;kali:~/桌面/crc# strings 1.txt |grep "flag"


看属性

命令分离文件

binwalk、foremost

暴力破解

最简单、最直接的攻击方式&＃xff0c;适合密码较为简单或是已知密码的格式或者范围时使用

工具&＃xff1a;apchpr(windows)、fcrackzip(linux)

zip伪加密

原理&＃xff1a;一个zip文件由三部分组成&＃xff1a;压缩源文件数据区&＃43;压缩源文件目录区&＃43;压缩源文件目录结束标志。

全局方式位标记的四个数字中只有第二个数字对其有影响&＃xff0c;其它的不管为何值&＃xff0c;都不影响它的加密属性&＃xff01;

第二个数字为奇数时 –>加密

第二个数字为偶数时 –>未加密

无加密

压缩源文件数据区的全局加密应当为00 00&＃xff08;504B0304两个bytes之后&＃xff09;

且压缩源文件目录区的全局方式位标记应当为00 00&＃xff08;504B0304四个bytes之后&＃xff09;

假加密

压缩源文件数据区的全局加密应当为00 00

且压缩源文件目录区的全局方式位标记应当为09 00

真加密

压缩源文件数据区的全局加密应当为09 00

且压缩源文件目录区的全局方式位标记应当为09 00

修复方法&＃xff1a;

1. 修改通用标志位
2. winrar修复
3. binwalk -e 命令可以无视伪加密&＃xff0c;从压缩包中提取文件&＃xff0c;macos可以直接打开伪加密zip压缩包
4. ZipCenOp.jar(win)

找到所在文件夹&＃xff0c;在地址栏输入cmd

java -jar ZipCenOp.jar r 文件名


已知明文攻击

我们为ZIP压缩文件所设定的密码,先被转换成了3个4字节的key,再用这3个key加密所有文件。如果我们能通过某种方式拿到压缩包中的一个文件,然后以同样的方式压缩,选择不去爆破密码。这种攻击方式便是已知明文攻击。

题目特征&＃xff1a;有一个加密压缩包一个未加密压缩包&＃xff08;或者是一个文件&＃xff09;这个文件是加密压缩包的一部分

注意使用的压缩软件和压缩格式&＃xff0c;压缩完对比crc32校验码

crc32碰撞

CRC校验是在数据存储和数据通讯领域&＃xff0c;为了保证数据的正确&＃xff0c;就不得不采用检错的手段。在诸多检错手段中&＃xff0c;CRC是最著名的一种。CRC的全称是循环冗余校验。

总之每个文件都有唯一的CRC32值&＃xff0c;即便数据中一个bit发生变化&＃xff0c;也会导致CRC32值不同。若是知道一段数据的长度和CRC32值&＃xff0c;便可穷举数据&＃xff0c;与其CRC32对照&＃xff0c;以此达到暴力猜解的目的。但通常只适用于较小文本文件。

zip文件中crc32为未加密文件的校验码

比如这里有一个加密的压缩包&＃xff0c;直接双击就可以看见其中信息&＃xff0c;而且我知道其中全是数字&＃xff0c;便可使用脚本爆破。

题目特征&＃xff1a;文件本身内容很小&＃xff0c;密码很复杂

crc.py(需要linux环境)

python2 crc.py 2.zip


crc.py

#!/usr/bin/env python3
import sys
import os
import string
import collectionsimport argparse
parser &＃61; argparse.ArgumentParser()
parser.add_argument(&＃39;file&＃39;, nargs&＃61;&＃39;*&＃39;)
parser.add_argument(&＃39;--hex&＃39;, action&＃61;&＃39;append&＃39;)
parser.add_argument(&＃39;--dec&＃39;, action&＃61;&＃39;append&＃39;)
parser.add_argument(&＃39;--limit&＃39;, type&＃61;int)
parser.add_argument(&＃39;--compiler&＃39;, default&＃61;&＃39;g&＃43;&＃43;&＃39;)
parser.add_argument(&＃39;--alphabet&＃39;, type&＃61;os.fsencode, default&＃61;string.printable.encode())
args &＃61; parser.parse_args()targets &＃61; collections.OrderedDict()
limit &＃61; 0
crcs &＃61; []if args.limit:limit &＃61; max(limit, args.limit)
if args.hex or args.dec:if not args.limit:parser.error(&＃39;Limit of length not specified&＃39;)if args.hex:for s in args.hex:crc &＃61; int(s, 16)targets[s] &＃61; crcfor l in range(args.limit &＃43; 1):crcs &＃43;&＃61; [( crc, l )]
if args.dec:for s in args.dec:crc &＃61; int(s)targets[s] &＃61; crcfor l in range(args.limit &＃43; 1):crcs &＃43;&＃61; [( crc, l )]if args.file:print(&＃39;reading zip files...&＃39;, file&＃61;sys.stderr)import zipfilefor zipname in args.file:fh &＃61; zipfile.ZipFile(zipname)for info in fh.infolist():targets[&＃39;%s / %s&＃39; % ( zipname, info.filename )] &＃61; ( info.CRC, info.file_size )crcs &＃43;&＃61; [( info.CRC, info.file_size )]limit &＃61; max(limit, info.file_size)print(&＃39;file found: %s / %s: crc &＃61; 0x%08x, size &＃61; %d&＃39; % (zipname, info.filename, info.CRC, info.file_size), file&＃61;sys.stderr)if not crcs:parser.error(&＃39;No CRCs given&＃39;)# compiling c&＃43;&＃43; in python script is the easy way to have the both a good interface and better speed
code &＃61; &＃39;&＃39;
code &＃43;&＃61; r&＃39;&＃39;&＃39;
#include
#include
#include
#include
#include
#include
#include
#define repeat(i,n) for (int i &＃61; 0; (i) <(n); &＃43;&＃43;(i))
using namespace std;uint32_t crc_table[256];
void make_crc_table() {repeat (i, 256) {uint32_t c &＃61; i;repeat (j, 8) {c &＃61; (c & 1) ? (0xedb88320 ^ (c >> 1)) : (c >> 1);}crc_table[i] &＃61; c;}
}
const uint32_t initial_crc32 &＃61; 0xffffffff;
uint32_t next_crc32(uint32_t c, char b) {return crc_table[(c ^ b) & 0xff] ^ (c >> 8);
}
const uint32_t mask_crc32 &＃61; 0xffffffff;const char alphabet[] &＃61; { &＃39;&＃39;&＃39; &＃43; &＃39;, &＃39;.join(map(str, args.alphabet)) &＃43; r&＃39;&＃39;&＃39; };
const int limit &＃61; &＃39;&＃39;&＃39; &＃43; str(limit) &＃43; r&＃39;&＃39;&＃39;;array, limit&＃43;1> crcs;
string stk;
void dfs(uint32_t crc) {if (crcs[stk.length()].count(crc ^ mask_crc32)) {fprintf(stderr, "crc found: 0x%08x: \"", crc ^ mask_crc32);for (char c : stk) fprintf(stderr, isprint(c) && (c !&＃61; &＃39;\\&＃39;) ? "%c" : "\\x%02x", c);fprintf(stderr, "\"\n");printf("%08x ", crc ^ mask_crc32);for (char c : stk) printf(" %02x", c);printf("\n");}if (stk.length() }int main() {
&＃39;&＃39;&＃39;
for crc, size in crcs:code &＃43;&＃61; &＃39; crcs[&＃39; &＃43; str(size) &＃43; &＃39;].insert(&＃39; &＃43; hex(crc) &＃43; &＃39;);\n&＃39;
code &＃43;&＃61; r&＃39;&＃39;&＃39;make_crc_table();dfs(initial_crc32);return 0;
}
&＃39;&＃39;&＃39;import tempfile
import subprocess
with tempfile.TemporaryDirectory() as tmpdir:cppname &＃61; os.path.join(tmpdir, &＃39;a.cpp&＃39;)with open(cppname, &＃39;w&＃39;) as fh:fh.write(code)binname &＃61; os.path.join(tmpdir, &＃39;a.out&＃39;)print(&＃39;compiling...&＃39;, file&＃61;sys.stderr)p &＃61; subprocess.check_call([args.compiler, &＃39;-std&＃61;c&＃43;&＃43;11&＃39;, &＃39;-O3&＃39;, &＃39;-o&＃39;, binname, cppname])print(&＃39;searching...&＃39;, file&＃61;sys.stderr)p &＃61; subprocess.Popen([binname], stdout&＃61;subprocess.PIPE)output, _ &＃61; p.communicate()print(&＃39;done&＃39;, file&＃61;sys.stderr)
print(file&＃61;sys.stderr)
result &＃61; collections.defaultdict(list)
for line in output.decode().strip().split(&＃39;\n&＃39;):crc, *val &＃61; map(lambda x: int(x, 16), line.split())result[( crc, len(val) )] &＃43;&＃61; [ bytes(val) ]
for key, crc in targets.items():for s in result[crc]:print(&＃39;%s : %s&＃39; % (key, repr(s)[1:]))


多个压缩文件合并

cat 文件名(按需) > 保存文件名

docx文件

docx文件就是包含xml文件的zip压缩包

可能隐藏文件、信息在压缩包里面&＃xff0c;word直接打开是看不见的