题目地址
解压压缩包,得到三个文件:地狱伊始.jpg、第二层地狱.docx、快到终点了.zip。jpg图片打开是空白,word文件和zip文件都被加了密。
第一层地狱: 地狱伊始
图片破解
用winhex打开地狱伊始.jpg发现文件头缺失。
通过比较正常的jpg文件,在winhex中插入缺失的jpg文件头FFD8FFE0,在第一个字节处,选择Edit | Clipboard Data | paste,然后保存,得到jpg图片:
从https://pan.baidu.com/s/1i49Jhlj下载到音频文件地狱之声.wav。
音频处理
用audacity打开文件
选择频谱图(左边地狱之声旁边黑色的倒三角),调整菜单效果中的“低音和高音”,得到下面的图。
得到图形 -.-/./-.--/.-.. /./ - /..- /.../ --./ ---(空格用/替换),猜测是摩尔斯电码。在 https://www.bejson.com/enc/morse/解密后得到keyletusgo 。
通过尝试,word文件的密码为letusgo。
第二层地狱
word文件有一张图片和一段文字
根据文字提示,首先找“剑”。Ctrl+A全选后,鼠标右键选择字体,取消隐藏字体
出现字符串 image steganography(图像隐写术),如果是乱码需要更换字体。
在网站http://www.atool.org/steganography.php图片中隐藏的信息为:key{you are in finally hell now},{}中的内容即为第三地狱钥匙。
第三层地狱
解压zip文件后得到图片“地狱大门.jpg”和文本文件“最后一层地狱.txt”。
密码破解
txt文件内容是
这里有一个大门,勇士把它轰开吧。
(tips:01110010011101010110111101101011011011110111010101101100011010010110111001100111)
将二进制转换成十六进制再转换成字符串得到信息:ruokouling
from bitarray import bitarray
binstr = '01110010011101010110111101101011011011110111010101101100011010010110111001100111'
print(bitarray(binstr).tobytes())
文件分离
用binwalk查看jpg图片,发现图像后面有zip文件。
文件分离,windows可使用winhex把zip内容复制出来新建文件,linux/Mac系统可使用foremost和dd命令
[#107#ctf]$foremost 地狱大门.jpg
Processing: 地狱大门.jpg
|foundat=小姐姐诶.txtπ��
*|
如果用dd命令,由于binwalk没有zip文件的开始位置信息,先用hexdump 将十六进制数据输入到文件,在文件中搜索"50 4b 03 04"
找到位置为 0xf2b4,即62132
>>> print(0xf2b4)
62132
用dd命令导出zip文件
$dd if=地狱大门.jpg of=o.zip skip=62132 bs=1
474+0 records in
474+0 records out
474 bytes transferred in 0.003923 secs (120828 bytes/sec)
得到zip文件后,根据前面的信息知道是弱口令,在网上下载弱口令字典破解zip密码。windows系统可以ARCHPR,linux下面的fcrackzip字典破解不好用,或者是我的方法没对,用python解密
#/usr/bin/env python3
# -*- coding:utf-8 -*-
import zipfile
import threading
import argparse
def extractFile(zFile,password):
'''
破解方法
:param zFile: 需要破解的文件
:param password: 尝试密码
:return:
'''
try:
zFile.extractall(pwd=password.encode('utf-8'))
print("Found Passwd:", password)
event.set()
return password
except:
event.wait()
pass
def main():
'''
主函数
'''
parser = argparse.ArgumentParser(description='Process some integers.') # 首先创建一个ArgumentParser对象
#parser.add_argument('integers', metavar='N', type=int, nargs='+', # 添加参数
# help='an integer for the accumulator')
#parser.add_argument('--sum', dest='accumulate', action='store_const',
# const=sum, default=max,
# help='sum the integers (default: find the max)') # 添加--sum则返回所有数之和,否则返回列表中的最大值
parser.add_argument('-d', '--dictionary', help='dictioanry file') # 添加字典文件
parser.add_argument('file', help='zip file') # 添加字典文件
args = parser.parse_args()
#print (args.file)
#print (args.dictionary)
zFile=zipfile.ZipFile(args.file)
passFile=open(args.dictionary)
for line in passFile.readlines():
if event.isSet():
print ("End")
return
else:
password = line.strip('\n')
t = threading.Thread(target=extractFile, args=(zFile, password))
t.start()
if __name__=='__main__':
event=threading.Event()
main()
保存文件crackzip.py,运行得到密码Password, 500-top.txt是字典文件。
$python3 ./crackzip.py -d 500-top.txt o.zip
Found Passwd: Password
End
解压后得到txt文件小姐姐诶.txt,内容如下:
呀呀呀呀!小姐姐(flag)已经被贝斯家族的人劫持了,你找到凯撒家族发现小姐姐被这个家族的仆人带向了地狱的另一个名门望族,贝斯家族。中途他们还经历了兔子洞穴。最后你从那个家族的sixfour手里拿到了面目全非的小姐姐(VTJGc2RHVmtYMTlwRG9yWjJoVFArNXcwelNBOWJYaFZlekp5MnVtRlRTcDZQZE42elBLQ01BPT0=)。你能帮小姐姐恢复容貌吗?
文中字符串是加密字串,文中描述加密过程为 flag -> 凯撒加密 -> rabbit加密 -> base64加密。对应逆操作为:
- base64解密
U2FsdGVkX19pDorZ2hTP+5w0zSA9bXhVezJy2umFTSp6PdN6zPKCMA==
- rabbit解密
fxbqrwrvnwmngrjxsrnsrnhx
-- 凯撒解密
第1次解密:fxbqrwrvnwmngrjxsrnsrnhx
第2次解密:ewapqvqumvlmfqiwrqmrqmgw
第3次解密:dvzopuptluklephvqplqplfv
第4次解密:cuynotosktjkdogupokpokeu
第5次解密:btxmnsnrjsijcnftonjonjdt
第6次解密:aswlmrmqirhibmesnminmics
第7次解密:zrvklqlphqghaldrmlhmlhbr
第8次解密:yqujkpkogpfgzkcqlkglkgaq
第9次解密:xptijojnfoefyjbpkjfkjfzp
第10次解密:woshinimendexiaojiejieyo
第11次解密:vnrghmhldmcdwhznihdihdxn
第12次解密:umqfglgkclbcvgymhgchgcwm
... ...
可以看到第十次解密即为最终的flag