misc——What kind of document is this

0x01 前言

比赛中遇到的一些比较好的题

0x02 题目简介

下载附件看到一个.bat文件，但是双击后没什么反应。想到题目标题，标题意思是这个文件是什么类型的，那么思路就有了

0x03 解题过程

1.WinHex查询

一般的文件问题用winhex都可以找到线索。发现是MS Word/Excel的文件头
常用office文件头

MS Word/Excel (xls.or.doc)，    文件头：D0CF11E0
MS Access (mdb)，               文件头：5374616E64617264204A
WordPerfect (wpd)，             文件头：FF575043
Adobe Acrobat (pdf)，           文件头：255044462D312E
application/vnd.visio(vsd)      文件头：d0cf11e0a1b11ae1
Email [thorough only] (eml)，   文件头：44656C69766572792D646174653A
Outlook Express (dbx)，         文件头：CFAD12FEC5FD746F
Outlook (pst)，                 文件头：2142444E
Rich Text Format (rtf)，        文件头：7B5C727466        

txt 文件(txt) ,         文件头：Unicode：feff     / Unicode big endian：fffe    / UTF-8：efbbbf    /ANSI编码是没有文件头的

把后缀改成.doc，打开发现有密码

2.破解密码

这里使用PassFab for Office进行密码爆破，得到密码9919
使用密码打开时却发现打开异常，由于在之前判断文件类型时，文件头指向的类型是.xls或.doc，修改下试试。
修改之后发现还是不行

经过一番搜索才知道这个文件头不仅仅代表这两种，而是MS Office文件，而MS Office文件还包括PPT。修改之后再次尝试，成功打开。

3.细心观察

第一张上放的md5图片经简单分析并没有什么成果，题目的难度是中级，接下来应该不会再为难我们了，而且下面还有七张空白的让人不禁觉得奇怪。

仔细观察后发现有第7张只有副标题
找到主标题后，修改一下字体颜色，哈哈，找到Flag{okYOUWIN}