[JarvisOj](Basic)Help!!

---

题目链接：

出题人硬盘上找到一个神秘的压缩包，里面有个word文档，可是好像加密了呢~让我们一起分析一下吧！
word.zip.a5465b18cb5d7d617c861dee463fe58b

---

分析：
下载题目提供文件 :
发现文件需要解压密码 :
而且 , 题目并没有给出需要暴力破解的提示 , 一般如果解题思路为暴力破解的话 , 一般都会给提示 , 比如说密码为6位纯数字/密码为5位大写字母...
既然不是暴力破解 , 考虑到可能是压缩包的伪加密
因此需要分析加密过的压缩包和未加密过的压缩包的区别
随便找一个本地的文件 , 将该文件压缩两次 , 第一次添加密码 , 第二次不添加密码 .
压缩完成后同时在010Editor中打开 :

未加密的ZIP文件

加密过的ZIP文件

我们可以很容易发现 : 没有被添加密码的压缩包的文件头的 deFlags 的值为 0 , 而加密过的压缩包的 frFlag 非零
我们知道了这个信息 , 就可以利用它尝试将题目中的压缩包的这个属性的值修改为 0 , 保存后 , 再次尝试解压 ,
发现成功了 :

Paste_Image.png

然后我们再打开解压后的Word文件 :

Paste_Image.png

想到有可能是将flag的字色和背景字色设置为一样 , 这样就看不出来了 , 但是经过尝试发现并不是这个思路 .
直接将word文件解压 , 再次分析 :
在 " word.docx\word\media " 这个目录下找到了两张图 , 一张是我们刚才看到的 , 另一张就是Flag :

Paste_Image.png

Paste_Image.png

注 :
010Editor拥有非常强大的文件分析和编辑功能 , 而且它还有非常多的文件模版 , 这个在CTF比赛中是非常有用的 , 使用它可以非常快速地进行文件格式和文件内容的分析 . 这里笔者就安装了010Editor的ZIP格式的模板 , 因此可以快速查看文件的各个区块

---

答案：
PCTF{You_Know_moR3_4boUt_woRd}

---

知识点：

1. ZIP伪加密
2. ZIP文件头协议
3. Word文件格式分析