Bugku ctf杂项 ez_misc

Bugku的一道misc题ez_misc，做完之后感觉很有意思，解题的思路和用到的知识点很适合像我这样的新手，网上没有找到writeup，于是记录一下解题过程

下载题目拿到一个rar压缩包

打开之后是一个png图片，有密码，这种一上来就需要密码的压缩包应该有隐藏内容，用010editor打开看一下

打开拉到最后，发信有zip的字样，顺手搜一下zip的文件头50 4B 03 04，发现还真有一个zip文件隐藏

于是用binwalk分离一下，得到了zip压缩包

打开之后发现还是call.png文件，并且还是需要密码，010editor看了一下也不是伪加密，这时候头有点晕了，开始在rar里尝试搜索flag、key等关键词撞撞运气，但是果然没有这么简单

由于一直在思考是不是哪里还有隐藏内容，突然想到既然原文件是rar，而rar文件和zip文件里的东西却是一样的，那么这个rar里的内容去哪里了呢，binwalk里也没有显示原先rar文件

回到开头，之前很少接触过rar的文件格式，对此也不甚了解，搜索之后了解到rar文件的开头应该是0x 52 61 72 21 1A 07 00，而题目给的是下图这个样式，看来是文件头出错导致rar里的内容无法显示和打开了

该过来之后再用binwalk分离，这次有rar文件了，保存出来，里面是3个文件

a、b两个文件都有密码，从c开始入手

打开后是乱码，但是可以看出是jpg文件，用010editor另存为jpg文件后打开

在图片底部可以看到一小截文字（来自作者的仁慈），说明图片要改高度了

010editor打开，jpg图片的高度在此处修改（FF C0），其中0x02 9E是高度，0x01 F4 是宽度，把高度改大一些，得到了图片隐藏的内容

试了一下，是b压缩包的密码，解压b得到两个文件

  

qr.png是一张二维码，扫描得到一个base64加密的密文，解码后的内容是“GIF89a”，但这并不是a压缩包的密码，百度一下，了解到gif89a是gif图片的一种格式，同时发现qr.png原来是一张gif图片，而且是87a格式

 

一开始以为要把qr.png的文件头改成89a，但是改完后保存成gif图，只有一帧，还是原来那张二维码，且这个文件比较小，看来是没有隐藏的内容了
再看flag.docx，打开的内容是表明这不是flag，来了都来了总得试一下，果不其然不是flag，同时也尝试了一下看有没有设置隐藏字符，未果

到这里卡了很久，一直在尝试从gif图找线索，找了很久之后实在没辙，终于动了用010打开word文档的念头，之前由于这个word文档打开太顺利了，一直没往这边想，打开之后发现这居然是一个zip文件

赶忙改掉word文档的后缀，拿到新的zip压缩包

 
解压之后有很多html文件，这个我熟，之前遇到过类似的题型，在word文件夹里找到document文件打开，可以看到之前的Th1s_1s_n0t_Fl@g字样，往下拉，看到了一个关键内容“BUT>>>>>Th1s_1s_P@sswd”，提示这是个密码，拿去尝试，是一开始a压缩包的密码

 

解压a，终于得到了call.png，但是却发现打不开，看来还得解密

010打开，可以看到png的文件头是不对的，改成89 50 4E 47 0D 0A 1A 0A，但还是打不开。仔细看这个文件，虽然有png文件头，但是没有其他的png数据块，说明这并不是一个png文件

 

好在刚才对gif的研究没有浪费，拉到最后看见3B，反应过来这应该是一个gif文件，3B是gif文件的固定结束标志，同时也对应了之前二维码扫出来的内容“header?GIF89a”，把文件头改成47 49 46 38 39 61，保存成gif文件，终于得到了一张可以打开的gif图，并且中间一帧写了flag

 

写得比较啰嗦，主要是记录一下解题的思路和过程，对里面涉及到知识点理解不是很深，堪堪能解出题目，还有很多值得学习的地方

gif89格式参考GIF 89a图像格式解析_gif89a_linux_dafei的博客-CSDN博客