使用 010editor 打开 flag.rar
观察rar文件头对的上,直接用WinRAR解压提示文件头损坏
查看十六进制代码
发现 flag.rar 文件中还存在一个 secret.png 的文件
flag.txt是可直接读的
定位到最后字母 'e' 上是解决这道题的重点
在RAR文件格式中,HEAD_TYPE的值是0x74则表明接下来的是文件块
而flag is not here中txt文件到字母e这里就结束了
RAR文件下一文件固定块是:A8 3C 7*
所以第三个字节HEAD_TYPE就应该是74(文件块)才对,而这里是7A(子块)
贴上常见的HEAD_TYPE
HEAD_TYPE=0x72 marker block 标志块
HEAD_TYPE=0x73 archive header 归档头部块
HEAD_TYPE=0x74 file header 文件块
HEAD_TYPE=0x75 old style comment header 老风格的注释块
HEAD_TYPE=0x76 old style authenticity information
老风格的授权信息块/用户身份信息块
HEAD_TYPE=0x77 old style subblock 老风格的子块
HEAD_TYPE=0x78 old style recovery record 老风格的恢复记录块
HEAD_TYPE=0x79 old style authenticity information
老风格的授权信息块/用户身份信息块
HEAD_TYPE=0x7a subblock 子块
HEAD_TYPE=0x7b end block 结束块
//结束块是固定为C4 3D 7B 00 40 07 00
解压后flag.txt还是跟之前一样,啥都没有 把目光放在secret.png上就好
再次使用010editor打开它发现文件头是GIF,尝试直接把后缀改成.gif
使用GIFCAM工具打开secret.gif
放进画图软件里,把上面这两个残缺的定位符补上
flag{yanji4n_bu_we1shi}