下载完压缩包打开,发现里边是一个压缩包和一个图片 打开图片后发现没什么异常东西,把他放到winhex里看一下。翻到最下边可以看到有异常现象 在图片文件尾后边后一串字母 这也是 打开下一层的密码,根据压缩包注释,括号里的内容为密码
用密码打开以后看到文本里提示密码在图片里 且为小写 打开图片发现没什么异常,拖进winhex看一下发现有异常 jpg图片都是以FFD8FF为开头,FFD9为结尾的而这个明显不是以FFD9为结尾,说明这个图片里还有其他东西,将他拖入foremost分离一下发现分离出来一个word文档 打开后看见密码被加密了。看这纯英文的密码。一般来说不是凯撒就是栅栏密码。经检验不是栅栏。那就凯撒一下 可以发现密码为Happydog(小写)
打开下一层发现只有一个压缩包和一个文本 提到虚伪,还就一个压缩包,可以联想到压缩包的伪加密。 这里给大家科普一下压缩包的伪加密,先把压缩包拖进去Winhex
压缩包分为三个区块{压缩源文件数据区,压缩源文件目录区:压缩源文件目录结束标志: } 一个一个来说一下
*压缩源文件数据区 50 4B 03 04:这是头文件标记(0x04034b50) 14 00:解压文件所需 pkware 版本 00 08:全局方式位标记(有无加密) 头文件标记后2bytes 08 00:压缩方式 B9 79:最后修改文件时间 DE 50:最后修改文件日期 23 67 85 AB:压缩包的crc校验 56 00 00 00:压缩后的尺寸 69 00 00 00:未压缩的尺寸 08 00:文件名长度 00 00:拓展记录长度 后边的为文件数据 *压缩源文件目录区(也是修改伪加密的地方) 50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本 01 08:全局方式位标记(有无加密,伪加密的关键,一般为0? 00) 目录文件标记后4bytes 08 00:压缩方式 8B 7B:最后修改文件时间 DE 50:最后修改文件日期 9D 62 7E 2B:CRC-32校验 AF 00 00 00:压缩后尺寸 C8 00 00 00:未压缩尺寸 08 00:文件名长度 24 00:扩展字段长度 00 00:文件注释长度 00 00:磁盘开始号 00 00:内部文件属性 20 00 00 00:外部文件属性 00 00 00 00:局部头部偏移量
*压缩源文件目录结束标志 50 4B 05 06:目录结束标记 00 00:当前磁盘编号 00 00:目录区开始磁盘编号 03 00:本磁盘上纪录总数 03 00:目录区中纪录总数 33 01 00 00:目录区尺寸大小
9B C4 02 00:目录区对第一张磁盘的偏移量
00 00:ZIP 文件注释长度
这个详细的介绍了各部分的含义,修改其压缩源文件目录区的全布局方式标记比特值之后即可对文件加密或解密。
具体操作如下:
压缩源文件目录区:50 4B 01 02:
01 08:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00或01 00打开就会提示有密码了)
我们用winhex打开压缩包,搜索50 4B 01 02(压缩源文件目录区) 将最后三个(txt2.txt,图片和压缩包)的全局方式为标记都改为00 00就可以了 这样再打开压缩包就会发现没密码了
打开文本问舔狗是什么属性,看看舔狗的详细信息。并给你一张图片。这样第一时间想到了查看图片的属性和详细信息。右键图片点击属性,进去后点详细信息 可以看到标记里这一串字符明显的是经文。复制下来去与佛伦禅网站进行解密http://hi.pcmoe.net/buddha.html 得出来密码 然后我们就可以进入最后一层
进入高级舔狗后输入密码 有一个图片和一个文本 文本说分开舔狗气质,再把才华与帅气结合一下,我们可以联想一下先分离在合并。我们把图片拖入foremost里 可以看到分离出两个一摸一样的图片。这时候就想到可以用stegsolve将他们异或一下
先打开一个照片在点这个image Combiner打开另一张得flag
这个具体可以看我上传群里的我讲的misc视频,也交这道题了
这是最基本的套娃,考的知识点简单也比较全。希望能激起同学们的学习欲望,更好的加入到CTF行列当中
