CTF中压缩包的常见套路

最新推荐文章于 2025-10-10 13:44:11 发布
原创 最新推荐文章于 2025-10-10 13:44:11 发布 · 1w 阅读 · 60 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

  1. 识别十六进制字符串的特殊字符:504B0304表示开始,504B0506表示结束(这里有一个补充知识点:把文件命名成什么文件类型,计算机就从什么特征头来进行识别,比如zip就从504B0304开始识别,从504B0506结束),值得注意的是对于txt文件,不存在任何文件头。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  2. 伪加密
    在这里插入图片描述

  3. 文件修复
    有可能存在文件头故意写错的情况:
    在这里插入图片描述
    这时候改过来就行:504B0304

  4. 冗余信息拼接
    ZIP压缩文件目录结束标识位为“504B0506”,且通常带有18字节(在预备知识中我们将每个偏移量视作一位,也是一个字节)的冗余数据,总共长度一般为20个字节,所以这个套路就是将隐藏信息分为多片隐藏在多个压缩包的结尾。
    在这里插入图片描述

这20个字节不能动,后面可以加其他冗余信息,如果动了,会导致解压失败。
综上,在合适的位置找到冗余数据并拼接,看看是什么编码,再解码

  1. 在压缩包的注释中找:
    在这里插入图片描述
    并且注释也可以通过winhex查看,一般在最后:
    在这里插入图片描述
2021-09-02 网安实验-文件修复-CTF中的压缩包
时光隧道
09-02 4万+
CTF中的压缩包知识点 压缩包隐写 实际上压缩包本身并不具备隐藏信息的功能,但由于在CTF竞赛中,经常出现压缩包与隐写术结合在一起的题目,所以我们需要掌握在CTF竞赛中有关压缩包的题目的常见考察方向及分析手段。 winhex Winhex是一款非常优秀的16进制编辑器,事实上,使用winhex单纯进行16进制编译在某些程度上有些大材小用,市场上很难找到像winhex一样功能强大的16进制编辑器。当然,它是收费的。本节课我们使用的是winhex的评估版本,可以满足需要。如果你想对winhex有更深层次
CTF的一些套路:zip解密|流量分析与提取|图片隐写
foryouslgme的博客
09-09 3833
文章目录CTF附件分析解密流量分析图片隐写提取解密 CTF附件 四类-IEC104-附件.zip 分析 发现这个zip包中有一个pcap文件,同时文件名后带有*,说明是加密的zip包。首先想到的就是解密zip包(为什么是解密,而不是破解呢?因为zip这个加密很有可能是伪加密,所以永远不可能破解成功) 解密 首先,我们来尝试一下伪加密的解密,伪加密的解密方法有多种上,今天只讲一种,修改zip包格式。 一格zip文件有三个部分组成: 压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志这是三个头标记,
关于CTF压缩包的那些事
qq_42551635的博客
05-14 6960
关于CTF压缩包的那些事 前言 CTF比赛中经常会给你各种各样奇怪加密方式的压缩包,这里基于合天相关课程学习小小的总结一下,可能不全,持续更新 利用进制转换隐藏信息 给你一大串十六进制字符串 你发现是50 4B 03 04 开头的,他其实是个压缩包,放入winhex改后缀保存即可得到zip文件,zip文件里有flag 作为冗余信息藏在其他文件中 winhex打开,搜索该文件文件尾,看后面是否还有压缩包文件头 解决方式,直接将后缀名改为zip解压 利用隐写隐藏在其他文件中 LSB为常规隐写算法,使用steg
bugku ctf 杂项 眼见非实(ISCCCTF)
qq_42777804的博客
05-17 1367
下载后 用winhex打开 ZIP Archive (zip),文件头:504B0304 发现文件头504B0304为说明是一个压缩文件 所以改后缀名为 .zip 并且解压 打开 依然 winhex打开 还是文件头504B0304为说明还是一个压缩文件 继续 改为 .zip 解压 打开后 在这个路径的 这个文件下发现flag 我们...
CTF — ZIP 文件密码恢复
最新发布
四楼没电梯的专栏
10-10 1842
摘要:针对密码保护的ZIP/CTF压缩包,介绍了三种恢复方法:暴力破解(Brute Force)适用于已知密码结构但耗时较长;字典破解(Dictionary Attack)利用常见密码库快速恢复,成功率较高但依赖字典质量;以及工具辅助(如ARCHPR、Hashcat和ZipCracker),结合图形界面与高性能计算提升效率。重点推荐联合使用ZipCracker检测伪加密/CRC32后,再用Hashcat进行GPU加速爆破,形成完整恢复流程。同时强调合法用途,并提供了相关工具与资源推荐。
BugkuCTF-MISC题Pokergame
am_03的博客
09-01 1205
补充: 用010hex打开zip文件。 把504B0304后的第3、4个byte改成0000 即将0900改为0000 而504B0102后的第5、6个byte不需改成0000即可破解伪加密。 解题 下载,解压 文件有hint.txt,king.jpg,kinglet.jpg,Poke.zip 通过binwalk -e 和foremost分别分离king.jpg与kinglet.jpg 从king.jpg分离得到: 加密压缩包,加密了code.txt 尝试爆破无果后,尝试伪加密,成功 解压得到code.t
zip知识点的部分总结!
qidiandexiaowu
04-20 2776
前言:写这篇博客很犹豫,毕竟是自学可能有很多错误的地方,望大佬指点! 目录 0×01.zip文件格式及伪加密 0×02.暴力破解 0×03.明文攻击 0×04.CRC爆破 0×01.zip文件格式及伪加密 这就是一个zip文件的格式。 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x04034b50) 14 00:解压文件所需 pkware 版本 00 00:全局方式位标记(...
CTF MISC压缩包简单题学习思路总结(持续更新)
超大青花鱼的博客
09-28 6661
本篇主要是对我遇到的压缩包题进行一个总结,大佬们轻喷。
zip格式伪加密
只会666
04-20 9857
伪加密通过修改zip文件中的编码实现,通过修改zip文件中的通用标记位在解压时判断为已加密。 先看看zip文件的编码格式吧: 放上格式参考来源:http://blog.sina.com.cn/s/blog_4c3591bd0100zzm6.html zip文件由三部分组成:1、 压缩的文件内容源数据 2、压缩的目录源数据 3、目录结束标识结构 放上要用到的两个部分: 这
CTF中的压缩包
weixin_52620919的博客
07-26 4383
1. 压缩包隐写 实际上压缩包本身并不具备隐藏信息的功能,但由于在CTF竞赛中,经常出现压缩包与隐写术结合在一起的题目, 所以我们需要掌握在CTF竞赛中有关压缩包的题目的常见考察方向及分析手段。 2. CTF常见压缩包套路(这些套路也不一定是单独出现,大多数情况都是组合出现的) (1) 利用进制转换隐藏信息 (2) 作为冗余信息或隐藏信息藏在其他文件中,一般是图片 (3) 简单密码爆破 (4) 字典爆破/掩码攻击 (5) 伪加密 (6) 明文攻击
CTF比赛真题中学习压缩包伪加密与图片隐写术,最新阿里P7技术体系
m0_68313184的博客
03-21 1194
=========================================================================== 如遇加密压缩包,在没有密码提示的情况下,先判断是不是伪加密 最简单的方法就是看十六进制数据,第一行如果有09多半就是了 点击查找十六进制数值搜索504B,最后如果有09那基本就是了,改为00完活 []( )伪加密破解 ====================================================================
[MRCTF2020]千层套路
weixin_34979095的博客
08-12 658
扫码得:MRCTF{ta01uyout1nreet1n0usandtimes}改为 flag{ta01uyout1nreet1n0usandtimes}提交。循环不尽,文件名即是解压密码,上python脚本。这个是rgb,我们开始脚本绘图。print('绘制完毕')或者使用我修改过的脚本。
常见文件文件头
热门推荐
Xerath的博客
10-01 5万+
各类文件的文件头标志 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D CAD (dwg),文件头:41433130 Adobe Photosh
BUUCTF-ningen
个人做题记录,大佬勿喷
01-12 592
第二种就是,把504b0304后面全部选中,新建一个十六进制的文件,将数据存储在新文件里面,命令后缀为zip的文件。第一种是,将文件拖到kali里面,binwalk -e 文件名即可,看到了504b0304,是压缩包的文件头,这里有两种做法。解压不了,那就是题目中提示的爆破咯,选择四位数字爆破。这里我不想打开虚拟机,嫌麻烦,直接采取第二种。010打开,文件头ffd8,搜索ffd9,这里提示,是四位数,应该要爆破密码,
不同文件类型对应的文件头文件尾
m0_73766321的博客
07-14 4715
JPEG (jpg),   文件头:FFD8FF                      文件尾:FF D9。PNG (png),    文件头:89504E47(PNG)                      文件尾:AE 42 60 82。GIF (gif),   文件头:47494638                      文件尾:00 3B。
BUUCTF zip伪加密
qq_54551352的博客
11-07 593
先把压缩文件用010打开看看 翻阅一些资料我们可以知道,zip文件格式分为三个部分 1.压缩源文件数据区 50 4B 03 04是源文件数据区文件头的标识 14 00:解压文件所需 pkware 版本(这个在这道题用不到) 09 00:全局方式位标记 2.压缩源文件目录区 50 4B 0102是源文件目录区文件头的标识 14 00:解压文件所需 pkware 版本 00 09:全局方式位标记(由此决定是否有加密显示,偶数无加密显示,奇数有加密显示) 3.源文件目录结束区 50...
ISCTF(b)
qq_75005708的博客
12-19 680
小白说:zo23n里面的z就是zero,o就是one,n就是nine。最后用脚本将01239换成白色,45678为黑色,就是一个二维码。数字0、1、2、3、9对应白色像素块,数字4,5,6,7,8对应黑色像素,0900是全局方式位标记,2bytes,压缩软件识别未加密标志。1400代表解压文件所需pkware的版本,2bytes。504B0102是目录中文件文件头标记,4bytes。504B0304是zip文件的文件头,4bytes。,找到加密文件的全局标志位,将两个。文件需要密码打开,。
CTF misc zip、rar文件伪加密
H4ppyD0g的博客
09-12 8430
zip伪加密 zip伪加密是在文件头的加密标志位做修改,进而再打开文件时识被别为加密压缩包。但实际是没有密码的,所以使用任何密码都破解不了。 一个 zip文件由三个部分组成: 压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志 当压缩源文件目录区的全局方位标记为0900(表示为加密), 并且压缩文件数据区的全局方式位标记为0000(未加密)则会被识别为加密,但是文件并没有真正的加密,也就是...
.misc
m0_57954651的博客
02-15 3116
眼见非实 下载 解压文件 打开后是一个word文档 很难找到线索 用工具尝试一下(010editor) 可以看到 应该开头为504B0304 zip压缩包的文件头 所以吧word文档后缀改为zip压缩包形式 重新解压打开 打开后又出现了新文件 打开文件查找 最终在document.xml中找到flag 再也没有纯洁的灵魂 下载文件 打开 属于是兽音译音 (刚学的)尝试突破 对照后发现规律 B-嗷 U-呜 G-啊 K-~ 进行替换...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值