zip伪加密

经验 经验
发布时间 :
阅读 :
  1. 1 背景
  2. 2 原理
  3. 3 文件组成
    1. 3.1 数据区:
    2. 3.2 目录区:
    3. 3.3 目录结束标志:
  4. 4 示例

1 背景

上周末做了北京工业大学的CTF,其中有一道zip伪加密的题目,这里记录一下原理,以供日后方便查看。

2 原理

zip伪加密是在文件头的加密标志位做修改,进而再打开文件时识被别为加密压缩包。

3 文件组成

一个 ZIP 文件由三个部分组成:

压缩源文件数据区 + 压缩源文件目录区 + 压缩源文件目录结束标志

下面给出这次比赛中的一个实例

实例

3.1 数据区:

50 4B 03 04:这是头文件标记(0x04034b50)
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
00 00:扩展记录长度
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500

3.2 目录区:

50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)
08 00:压缩方式
5A 7E:最后修改文件时间
F7 46:最后修改文件日期
16 B5 80 14:CRC-32校验(1480B516)
19 00 00 00:压缩后尺寸(25)
17 00 00 00:未压缩尺寸(23)
07 00:文件名长度
24 00:扩展字段长度
00 00:文件注释长度
00 00:磁盘开始号
00 00:内部文件属性
20 00 00 00:外部文件属性
00 00 00 00:局部头部偏移量
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001

3.3 目录结束标志:

50 4B 05 06:目录结束标记
00 00:当前磁盘编号
00 00:目录区开始磁盘编号
01 00:本磁盘上纪录总数
01 00:目录区中纪录总数
59 00 00 00:目录区尺寸大小
3E 00 00 00:目录区对第一张磁盘的偏移量
00 00:ZIP 文件注释长度

4 示例

附件内的文本文件fo.txt直接打不开,猜测flag就在这个文件里面

fo.txt报错

然后,发现这个zip是伪加密,就修改此处的0900为0000

修改位置

修改并保存,接着打开fo.txt,发现其中的佛曰是与佛论禅的密文

fo.txt中的内容

在线解密这段密文即得flag

得到flag

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达,可以邮件至 xingshuaikun@163.com。

©2016-2020 Yelog

Built with Hexo and 3-hexo theme

×

喜欢就点赞,疼爱就打赏