fakezip

已于 2023-02-02 15:39:49 修改
阅读量385 收藏 1
点赞数
分类专栏: # Misc 文章标签: 安全 Powered by 金山文档
于 2023-02-02 15:25:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53229503/article/details/128850417
版权

一、前言

本题方向为Misc——GFSJ0979,难度偏简单

来源地址:攻防世界(https://adworld.xctf.org.cn/challenges/list

链接:https://pan.baidu.com/s/17kwO-kxO994jl8b35L_ujA

提取码:e412

二、解题过程

思路一

  1. 下载附件得到一个压缩包,发现需要密码才能解开

  1. 经过爆破,无果

  1. 查看题目,题目名称为fakezip,意思是伪造的加密

  1. 立马联想到伪加密知识点,拿出伪加密工具(工具和题目打包在百度网盘里,需要可下载)

  1. 输入命令java -jar ZipCenOp.jar r 0cb6f418-26ab-40ec-86db-ec7134b27e67.zip

  1. 执行的时候一直报错,开始以为是命令输错了,查阅资料后,确定命令没有问题

  1. 之后才看出来是java版本的问题,我目前用的java版本是11

  1. 切换到java1.8之后,可以正常执行命令

  1. 执行成功后,再次解压压缩包,可以得到flag.png图片

思路二

  1. 将压缩包丢到editor工具中

  1. 将ushort frflags的值更改为0

  1. 该4组下的ushort frflags的值均更改为0

  1. 更改之后,保存

  1. 再次解压压缩包的时候,无需密码

三、flag

flag{39281de6-fe64-11ea-adc1-0242ac120002}

ElvisElvis6
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fake_useragent.zip
08-27
python使用的fake_useragent.json
宜兴网信办:fakezipzip的伪加密)
Welcome To Myon'Blog !
01-05 756
宜兴网信办 fakezip zip伪加密 暴力破解 010Editor的用法
Misc [Fake zip][伪加密]知识及破解
最新发布
2301_80155614的博客
12-09 399
1:360压缩包直接破解(这个解压软件可以直接无视伪加密,果然是斗宗强者,恐怖如斯),但是许多同学碍于360安全大礼包,不敢下载。本篇只提供大致解题思路,具体的可以参考其他大神的,祝大家ctf越来越强。命令是java -jar zipcenop.jar 文件名。(前提是先配置java环境),工具网上可以直接下载。,本题没有任何提示信息,猜测是伪加密。打开压缩包,放人010里查看,出现。下面总结3种方法,看看哪种适合你哦。很明显是伪加密,那么要怎么下手呢。为了检验是不是伪加密,可以放入。
攻防世界Misc:fakezip
YSF__的博客
08-28 1792
攻防世界Misc:fakezip
攻防世界 fakezip
qq_53105813的博客
08-19 1578
攻防世界题目讲解
攻防世界Fakezip杂项
11-20
【攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界 notsequence
12-21
《攻防世界 notsequence》是一道涉及编程与算法的网络安全挑战题目,主要考察的是选手对特定算法的理解和应用。在该题目中,关键点在于理解并解析`check1`函数,以及利用杨辉三角形(Pascal's Triangle)的性质来...
XCTF---MISC---fakezip
liu914589417的博客
11-22 350
XCTF---MISC---fakezip---解题思路:观察压缩包并进行暴力破解,解不开观察代码为伪加密,使用HxD或者Winhex进行伪加密编码修改即可得到答案。
攻防世界Fakezip
淡巴枯的博客
11-20 447
【代码】攻防世界Fakezip
CTF 关于ZIP解题过程
Lemon's blog
03-31 5769
CTF 关于ZIP解题 1.伪加密类型 打开之后是两张图片,一张未加密,一张已加密。 利用WinHex打开 然后在谷歌上找到大佬关于zip格式的介绍 接下来进行对比,看是否属于伪加密 通过对比,发现确实属于伪加密。所以将09改为00即可。 总结:从50 4B 01 02 开始数十位数便能查看是否是伪加密。 ...
DMCTF writeup
Calvinzan的博客
11-28 491
DMCTF write up 下面是对部分题目的讲解,主要是杂项方面,我也是第一次写博客,如有不当请谅解 前言 最近参加了一次ctf的比赛,在这里写下writeup 1、checkin 真签到题,答案就在题目里,粘贴弄下即可 2、fakezip 如题目所言,下载下来后发现用360解压是不需要用密码即可解压 得到一个txt文件 发现文件里面是一段音符,直接上网找在线音符转换即可解密 在线解密网站:https://www.qqxiuzi.cn/daohang.htm 3、basefamily 这个
DMCTF部分题目writeup
qq_51429131的博客
11-29 1350
DMCTF部分题目writeup 文章目录DMCTF部分题目writeup一、Reverse二、Web三、Crypto四、MiscE·N·D 首先说明本蒟蒻是大一菜鸡,刚刚入门CTF,啥也不会,就凭着Google硬搜硬写,混了些许分数 大部分题都能在网上找到类似的题目或者相应的轮子,跟着先辈们一步一步就能混到些许分数 这些writeup是我个人的写法,如果有更好的更绝妙的写法请大佬手下留情,希望大佬们不吝赐教|・ω・`) 一、Reverse 就做了一道题,我太菜了,真的还有写wp的必要么(悲) _(:з」∠
DMCTF
XBLXS的博客
12-07 948
web weak_type 打开进入环境可以看到一段php代码,进行分析可得需3步得出flag 1.需get传num使得intval($num,0)===202020020可过leve1,===是比较值和类型是否都相等,所以可以让num=+202020020即可 2.分析可得leve2通关条件是get传v1,v2且v1,v2经过md5加密后v1=v2即可。md5哈希之后都是0e开头的,所以传入开头是0e的v1,v2就行 3.分析为json绕过。json_decode — 对 JSON 格式的字符串进行编码,
小咸鱼的WP
Philomelll的博客
11-28 336
小咸鱼的WP前言一、Misc1.SimpleQrcode2.Check In3.fakezip4.Base family5.编码之王6.jpgsteg7.Collision8.kaomoji8.ARCHPR8.ARCHPR9.Whitespace9.SSTV10.Steghide11.outguess 前言 orz萌新第一次参赛,被大佬爆锤,把还有印象的题整理下思路写一写。 一、Misc 1.SimpleQrcode 体力活,把GIF放到在线网站分解一下,一个一个扫就出来力。 2.Check In 避.
DMCTF部分WP
star_feather的博客
01-11 522
MISC fakezip: ​ 伪加密。(不知道为什么,7zip可以不解压直接打开…)解压压缩包报错文件头错误,将压缩包用winhex打开,修改加密位为00 00,保存。 解压出来一个音乐符号加密,直接找文本加密为音乐符号工具解密: (https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=yinyue) 得flag{da1ada1a} base family: base编码叠加转换: 观察形式,先用base91解码,然后用base58解码,再使用base32,
DMCTF校赛思路总结
菜鸡程序员的博客
12-08 2069
DMCTF校赛思路总结 针对于校赛的一些题目的思路进行汇总。 WEB 题: Weak_type: ​ 我首先是百度了一下,题中涉及到的 isset(),intval()这两个函数,然后知道了第一关的含义就是输入一个整数并判断它是否等于 202020020,我输入之后发现不行, 程序在 if($num===“202020020”)这一行通过了,所以我就输入了 202020020.2 让他不进入 这个 IF 判断,然后就通过了第一关,第二关我是百度了一下 PHP 如何绕过 MD5 加密,然 后找到了一个 C
攻防世界-fakebook-(详细操作)做题过程
qq_43715020的博客
06-20 4691
攻防世界-fakebook-(详细操作)做题过程
攻防世界【Fakebook】解题方法
weixin_43923736的博客
06-22 739
攻防世界【Fakebook】解题方法
攻防世界fakebook
舞动的獾
07-23 576
fakebook 拿到题目,发现页面上有两个按钮,一个为join,另外一个为login,可能在注册登录界面存在注入漏洞,首先查看join。 先扔到sqlmap里面跑一波,但长时间没启动了,sqlmap坏了,没办法,手动注入吧。 先注册一个账号试试,用admin,看看admin是否能被注册,发现真的可以,但是似乎并没有什么卵用,不要忘了一个习惯,扫描。 结果发现了如下几个文件: flag.php flag.phps robots.txt view.php login.php join.php 访问一下注册
攻防世界XCTF fakebook
zgwz123456的博客
12-09 225
打开后我们发现login 和 join ,我们先join 其实,这里是有个post注入的 查注入的方法 首先我们打开bp抓包工具 右键选择复制到文件 我们发现这里的username可以进行post注入,后面就可以无脑注入了。 第二种方法 点击我们的admin 下载源码查看 Get()方法并没有对获取过来的url进行任何的过滤所以这里存在SSRF 这里我们对no传参发现有注入漏洞 从报错信息中我们可以得到网站的绝对路径,由于这里不存在回显,那我们便使用updatexml函数进行报错注入 .

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值