东华杯-Misc250-面具-writeup(zip伪加密)

三步:提取-分析-解密
第一步:提取
压缩包加密有一种伪加密的方法,首先我们需要先了解一下zip文件的格式信息。
一个 ZIP 文件由三个部分组成:
压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志
其中:
压缩源文件目录区:
50 4B 01 02:目录中文件文件头标记(0x02014b50)
3F 00:压缩使用的 pkware 版本
14 00:解压文件所需 pkware 版本
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)
08 00:压缩方式
我们用010editor打开压缩包,搜索14 00 09 00,发现果然存在
东华杯-Misc250-面具-writeup(zip伪加密)_第1张图片
将14 00 09 00修改为14 00 00 00后打开,可以提取出flag.vmdk
第二步:分析
很明显,这是一个磁盘取证分析环节,先下载安装好磁盘取证工具AccessData FTK Imager(http://download.csdn.net/download/streetmilk/5238752),或者其他工具也行。直接打开,可以发现两个文件:
东华杯-Misc250-面具-writeup(zip伪加密)_第2张图片
东华杯-Misc250-面具-writeup(zip伪加密)_第3张图片
第三步:解密
可以看到两个文件里面的内容为brainfuck跟Ook编码,直接在线解密即可得到结果
https://www.splitbrain.org/services/o

你可能感兴趣的:(misc)