下载好附件,打开发现压缩包里面的两个文件打开都需要密码,这里就不禁想到了伪加密,将压缩包扔进010editor中分析(也可以用kali的binwalk命令进行分离,这里我用的是010editor)
发现deFlags的值不为0(如果frFlags 或者 deFlags 的值不为0就会导致zip的伪加密)
(这里需要下载zip模板,如果没有下载的可以在模板-模板储存库里面添加所需要的库,这里用到的是zip)
修改过后保存就可以打开word文档了,打开的界面是这样的
在ctf中word文档需要注意是否有隐藏内容,要查看隐藏内容需要在word的设置里面打开
点击文件
选择选项
点击显示
点击过后就可以看到隐藏的内容了
在结尾看到多出来的字符串和网址,推测为希尔加密,网址为密钥,找一个在线网站解密
希尔解密 http://www.atoolbox.net/Tool.php?Id=914
希尔解密后得到
love and peaceee
回到前面的Rabbit密文,希尔解密得到的就是Rabbit的密钥
Rabbit解密 https://www.woodmanzhang.com/webkit/rabbitencrypt/index.html
找一个Rabbit在线解密网站,解密后得到base32字符串
再找base32在线网站解密,我这里用的是一个编码工具——随波逐流
解密后得到得到Unicode编码的字符串,再将字符串解密得
Unicode解码 http://www.jsons.cn/unicode
得到:
新佛曰:諸隸哉僧降吽諸陀摩隸僧缽薩咤耨諸隸慧塞色尊哉迦諦空所降我念隸祗諦念哉陀嚴哉囉修夷阿波色莊寂諦塞咒莊眾我哉所伏聞薩隸愍闍吶所修是色摩訶嚴哉願愍哉即修哉空蜜陀囉伏念哉摩哉亦莊哉眾咤如願如
得到的结果乍一看还以为是与佛论禅,但是注意他这里开头是新佛曰,所以应该是新约佛论禅
找在线网站解密
新约佛论禅 http://hi.pcmoe.net/Buddha.html
得到Live beautifully, dream passionately, love completely.
可以发现这个是压缩包fun的密码,输入后得到一个wav文件,这里需要用Audacity 打开
切换到频谱图,即可看到flag
flag{m1sc_1s_funny2333}