CTF中压缩包的思路

原文链接:https://dwz.cn/cu03zEw6
加密zip包基本上只有三条思路:伪加密,爆破,明文思路

1.zip加密暴力破解、字典破解

ZIP压缩方式支持密码加密。加密的时候会在文件头部保存密钥相关信息。fcrackzip是Kali自带的一款工具。它支持暴力破解和字典破解两种模式。
该工具只支持ZIP压缩文件,不支持RAR压缩文件。因为这两种文件使用不同的压缩算法。

 目录
隐写篇
0x01. 通过进制转换隐藏信息
0x02. 在图片中隐藏压缩包(图种)
加密篇
0x03. 伪加密
0x04. 爆破/字典/掩码攻击
0x05. 明文攻击
0x06. CRC32碰撞
格式篇
0x07. 修改格式

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

0x01. 通过进制转换隐藏信息
这种方法比较简单,直接拿一道题讲解(题目来自ISCC 2017 Basic-04)。题目给了一个txt文档如下图
在这里插入图片描述
经过观察,所有数据都在16进制能表示的范围之内,因此先尝试使用十六进制编码解密,python脚本如下:
在这里插入图片描述
运行结果如下,虽然存在大量乱码,但还是能看到flag.txt,因此猜测txt中的这段字符是zip包的16进制表示(同时开头的PK也暗示这是一个zip包,PK是zip格式发明者Phil Katz的名称缩写,zip的前两个字母就用了PK)
在这里插入图片描述
将此16进制文件导入到16进制编辑器中,这里用010editor做演示
在这里插入图片描述
导入后选择 Save As(快捷键 ctrl + shift + s),给新文件命名时加上后缀.zip,保存后发现zip文件是正常的,因此证明思路正确,

另:除了16进制的编码转换,有时还会遇到2进制编码的转换,思路相同,不再复述

 
 
  • 1

0x02. 在图片中隐藏压缩包(图种)
这种方法大概是zip中最常见的,多用于在一张图片中隐藏一个压缩包,这种方法的原理是:以jpg格式的图片为例,一个完整的 JPG 文件由 FF D8 开头,FF D9结尾,图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。
也以一道题为例为例(ISCC 2017 Basic-07),对于这种隐写最简单的方法是使用Kali下的binwalk进行检测,binwalk 图片名 如下,检测出图片中存在压缩包
在这里插入图片描述
分离这个压缩包利用Linux下的foremost工具, foremost 图片名 如下,foremost默认的输出文件夹为output,在这个文件夹中可以找到分离出的zip(推荐使用这种方法,因为foremost还能分离出其他隐藏的文件)
另:本题后续步骤为构造字典,爆破握手包
0x03. 伪加密
Zip伪加密与zip的文件格式有关(zip的格式详解请翻到本文的最后0x07部分),zip中有一位是标记文件是否加密的,如果更改一个未加密zip包的加密标记位,那么在打开压缩包时就会提示该文件是加密的。
对于伪加密有以下几种方法:
1.在Mac OS及部分Linux(如Kali)系统中,可以直接打开伪加密的zip压缩包
2.使用检测伪加密的ZipCenOp.jar,解密后如果能成功打开zip包,则是伪加密,否则说明思路错误
3. 使用16进制编辑器改回加密标记位

以HBCTF的一道题讲解这几种方法:
在这里插入图片描述
如上,尝试解压压缩包时提示有密码,根据题干:比爆破更好的方法推测为伪加密,用三种方法来解此题:
1.用除windows外的系统直接打开压缩包
在Mac OS和部分Linux系统(如Kali)中,右键解压可直接打开伪加密的zip压缩包,笔者暂未明确何种Linux能打开伪加密压缩包,如有传授,不胜感激!
2.使用ZipCenOp.jar(需java环境) 使用方法在这里插入图片描述
经ZipCenOp.jar解密后的压缩包可直接打开
在这里插入图片描述
3. 用16进制编辑器修改加密标记位
在这里插入图片描述
如上图,修改加密标记位为00,保存,即可打开压缩包(关于zip文件的结构,请翻到本文最末0x07部分)
0x04. 爆破/字典/掩码攻击
把这三种归位一类是因为这三种方法在本质上都是逐个尝试,只不过待选密码的集合不同
1.爆破:顾名思义,逐个尝试选定集合中可以组成的所有密码,知道遇到正确密码
2.字典:字典攻击的效率比爆破稍高,因为字典中存储了常用的密码,因此就避免了爆破时把时间浪费在脸滚键盘类的密码上
3.掩码攻击:如果已知密码的某几位,如已知6位密码的第3位是a,那么可以构造 ??a??? 进行掩码攻击,掩码攻击的原理相当于构造了第3位为a的字典,因此掩码攻击的效率也比爆破高出不少
对这一类的zip问题,推荐windows下的神器AZPR
举例如下:
1.对爆破,以ISCC 2017 Basic-08为例,选定暴力攻击、字符集和长度后进行爆破在这里插入图片描述
点击开始,进行爆破,如下图,在4ms内就找到了密码为BIT
在这里插入图片描述
另:此题后续为简单的base64解密;爆破在密码长度小于6位时较快,因此如果在7位之内没有爆破出结果时,基本就可以考虑换个方法了;此题的正规解法是培根密码的转换
2. 字典,还以之前的ISCC 2017 Basic-07举例,从图片中分离出一个加密的zip压缩包,爆破无果后考虑字典攻击(可从网上下载字典,但大多数题目需要自己构造字典,文末的网盘连接里提供了常见的字典)
3.在这里插入图片描述
3.字典攻击的结果如下图,在字典选择合适的情况下,用很短的时间就能找到密码
在这里插入图片描述
4. 继续以此题为例,解压后的压缩包有一个txt文档和一个握手包,txt内容如下:在这里插入图片描述
因此可知握手包的密码为ISCC****的形式(*代表大写字母或数字),自己写程序构造字典
在这里插入图片描述
运行此程序得到字典如下:
在这里插入图片描述
之后用aircrack-ng来选中字典跑除握手包的密码如下图,不再详述
在这里插入图片描述
掩码攻击,以ISCC 2017 Misc-06为例,题目给了一个jpg图片,用0x02中的方法分离出加密的压缩包,根据题目提示:注意署名, 构造???LiHua的掩码(?可在自己定义的字符集中任意选择)进行掩码攻击,如下图:
在这里插入图片描述
攻击结果如下,只耗费了很少的时间就找到了密码
在这里插入图片描述
0x05. 明文攻击
明文攻击是一种较为高效的攻击手段,大致原理是当你不知道一个zip的密码,但是你有zip中的一个已知文件(文件大小要大于12Byte)时,因为同一个zip压缩包里的所有文件都是使用同一个加密密钥来加密的,所以可以用已知文件来找加密密钥,利用密钥来解锁其他加密文件,更详细的原理请读者自行谷歌
举个例子,已知 明文攻击.zip 中存在的文件 明文.txt,
因此将 明文.txt 压缩,这里需要判断明文压缩后的CRC32是否与加密文件中的一致,若不一致可以换一个压缩工具。
在这里插入图片描述
攻击过程如下:
在这里插入图片描述
点击开始,很快就恢复了密码
在这里插入图片描述
另:当明文的大小比较小时,攻击速度会比较慢;即使有时没有恢复密码,也可以使用明文攻击,最后点保存还是能得到压缩包里内容的。
0x06. CRC32碰撞
CRC32:CRC本身是“冗余校验码”的意思,CRC32则表示会产生一个32bit(8位十六进制数)的校验值。
在产生CRC32时,源数据块的每一位都参与了运算,因此即使数据块中只有一位发生改变也会得到不同的CRC32值,利用这个原理我们可以直接爆破出加密文件的内容
还是以之前HBCTF伪加密那道题为例,另一种解法就是CRC32碰撞,打开压缩包,可以看出压缩文件 flag6位数
的CRC32值为0x9c4d9a5d
在这里插入图片描述
因此写出碰撞的脚本如下:
在这里插入图片描述
要特别注意
在这里插入图片描述

在 Python 2.x 的版本中,binascii.crc32 所计算出來的 CRC 值域为[-2^31, 2^31-1] 之间的有符号整数,为了要与一般CRC 结果作比对,需要将其转为无符号整数,所以加上& 0xffffffff来进行转换。如果是 Python 3.x 的版本,其计算结果为 [0, 2^32-1] 间的无符号整数,因此不需额外加上& 0xffffffff 。
脚本的运行结果如下,即为压缩文件的内容:
在这里插入图片描述
再举另一个bugku中的例子,下载下来的文件是68个压缩包,并且根据binwalk的检查结果,每个压缩包里都有一个大小为4个字节,名为out.txt的压缩文件
在这里插入图片描述
用如下的脚本碰撞出所有压缩包中的数据:
在这里插入图片描述
此题较为繁琐,之后的步骤不再展开
另:限于CPU的能力,CRC碰撞只能用于压缩文件较小的情况

0x07. 修改格式
这种情况花样较多,难以做一个详细的总结,因此只列举最常见的缺少文件头或文件尾。
放一个zip文件格式讲的较清楚的链接,通过对zip文件格式的了解,可以解释之前伪加密的问题,同时也可以对缺少文件头或文件尾有更直观的认识。
在这里插入图片描述
如上为正常zip,缺头zip和缺尾zip的binwalk扫描结果,根据扫描结果用16进制编辑器添加文件头或文件尾,即可修复zip。
总结
Zip不仅是我们生活中常用到的一种文件格式,在CTF中也经常遇到,这里做了一个关于CTF中zip的总结,如果对读者有帮助,鄙人不胜荣幸。

                                </div>
            <link href="https://csdnimg.cn/release/phoenix/mdeditor/markdown_views-b6c3c6d139.css" rel="stylesheet">
                                            <div class="more-toolbox">
            <div class="left-toolbox">
                <ul class="toolbox-list">
                    
                    <li class="tool-item tool-active is-like "><a href="javascript:;"><svg class="icon" aria-hidden="true">
                        <use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="#csdnc-thumbsup"></use>
                    </svg><span class="name">点赞</span>
                    <span class="count">3</span>
                    </a></li>
                    <li class="tool-item tool-active is-collection "><a href="javascript:;" data-report-click="{&quot;mod&quot;:&quot;popu_824&quot;}"><svg class="icon" aria-hidden="true">
                        <use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="#icon-csdnc-Collection-G"></use>
                    </svg><span class="name">收藏</span></a></li>
                    <li class="tool-item tool-active is-share"><a href="javascript:;" data-report-click="{&quot;mod&quot;:&quot;1582594662_002&quot;}"><svg class="icon" aria-hidden="true">
                        <use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="#icon-csdnc-fenxiang"></use>
                    </svg>分享</a></li>
                    <!--打赏开始-->
                                            <!--打赏结束-->
                                            <li class="tool-item tool-more">
                        <a>
                        <svg t="1575545411852" class="icon" viewBox="0 0 1024 1024" version="1.1" xmlns="http://www.w3.org/2000/svg" p-id="5717" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200"><defs><style type="text/css"></style></defs><path d="M179.176 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5718"></path><path d="M509.684 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5719"></path><path d="M846.175 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5720"></path></svg>
                        </a>
                        <ul class="more-box">
                            <li class="item"><a class="article-report">文章举报</a></li>
                        </ul>
                    </li>
                                        </ul>
            </div>
                        </div>
        <div class="person-messagebox">
            <div class="left-message"><a href="https://blog.csdn.net/shenzhang7331">
                <img src="https://profile.csdnimg.cn/9/6/E/3_shenzhang7331" class="avatar_pic" username="shenzhang7331">
                                        <img src="https://g.csdnimg.cn/static/user-reg-year/2x/4.png" class="user-years">
                                </a></div>
            <div class="middle-message">
                                    <div class="title"><span class="tit"><a href="https://blog.csdn.net/shenzhang7331" data-report-click="{&quot;mod&quot;:&quot;popu_379&quot;}" target="_blank">段_Ross</a></span>
                                        </div>
                <div class="text"><span>发布了10 篇原创文章</span> · <span>获赞 9</span> · <span>访问量 9688</span></div>
            </div>
                            <div class="right-message">
                                        <a href="https://im.csdn.net/im/main.html?userName=shenzhang7331" target="_blank" class="btn btn-sm btn-red-hollow bt-button personal-letter">私信
                    </a>
                                                        <a class="btn btn-sm  bt-button personal-watch" data-report-click="{&quot;mod&quot;:&quot;popu_379&quot;}">关注</a>
                                </div>
                        </div>
                </div><div id="article_content" class="article_content clearfix">
        <link rel="stylesheet" href="https://csdnimg.cn/release/phoenix/template/css/ck_htmledit_views-833878f763.css">
                        <div id="content_views" class="markdown_views prism-atom-one-dark">
                <!-- flowchart 箭头图标 勿删 -->
                <svg xmlns="http://www.w3.org/2000/svg" style="display: none;">
                    <path stroke-linecap="round" d="M5,0 0,2.5 5,5z" id="raphael-marker-block" style="-webkit-tap-highlight-color: rgba(0, 0, 0, 0);"></path>
                </svg>
                                        <p>加密zip包基本上只有三条思路:伪加密,爆破,明文思路</p>

1.zip加密暴力破解、字典破解

ZIP压缩方式支持密码加密。加密的时候会在文件头部保存密钥相关信息。fcrackzip是Kali自带的一款工具。它支持暴力破解和字典破解两种模式。
该工具只支持ZIP压缩文件,不支持RAR压缩文件。因为这两种文件使用不同的压缩算法。

 目录
隐写篇
0x01. 通过进制转换隐藏信息
0x02. 在图片中隐藏压缩包(图种)
加密篇
0x03. 伪加密
0x04. 爆破/字典/掩码攻击
0x05. 明文攻击
0x06. CRC32碰撞
格式篇
0x07. 修改格式

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

0x01. 通过进制转换隐藏信息
这种方法比较简单,直接拿一道题讲解(题目来自ISCC 2017 Basic-04)。题目给了一个txt文档如下图
在这里插入图片描述
经过观察,所有数据都在16进制能表示的范围之内,因此先尝试使用十六进制编码解密,python脚本如下:
在这里插入图片描述
运行结果如下,虽然存在大量乱码,但还是能看到flag.txt,因此猜测txt中的这段字符是zip包的16进制表示(同时开头的PK也暗示这是一个zip包,PK是zip格式发明者Phil Katz的名称缩写,zip的前两个字母就用了PK)
在这里插入图片描述
将此16进制文件导入到16进制编辑器中,这里用010editor做演示
在这里插入图片描述
导入后选择 Save As(快捷键 ctrl + shift + s),给新文件命名时加上后缀.zip,保存后发现zip文件是正常的,因此证明思路正确,

另:除了16进制的编码转换,有时还会遇到2进制编码的转换,思路相同,不再复述

 
 
  • 1

0x02. 在图片中隐藏压缩包(图种)
这种方法大概是zip中最常见的,多用于在一张图片中隐藏一个压缩包,这种方法的原理是:以jpg格式的图片为例,一个完整的 JPG 文件由 FF D8 开头,FF D9结尾,图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。
也以一道题为例为例(ISCC 2017 Basic-07),对于这种隐写最简单的方法是使用Kali下的binwalk进行检测,binwalk 图片名 如下,检测出图片中存在压缩包
在这里插入图片描述
分离这个压缩包利用Linux下的foremost工具, foremost 图片名 如下,foremost默认的输出文件夹为output,在这个文件夹中可以找到分离出的zip(推荐使用这种方法,因为foremost还能分离出其他隐藏的文件)
另:本题后续步骤为构造字典,爆破握手包
0x03. 伪加密
Zip伪加密与zip的文件格式有关(zip的格式详解请翻到本文的最后0x07部分),zip中有一位是标记文件是否加密的,如果更改一个未加密zip包的加密标记位,那么在打开压缩包时就会提示该文件是加密的。
对于伪加密有以下几种方法:
1.在Mac OS及部分Linux(如Kali)系统中,可以直接打开伪加密的zip压缩包
2.使用检测伪加密的ZipCenOp.jar,解密后如果能成功打开zip包,则是伪加密,否则说明思路错误
3. 使用16进制编辑器改回加密标记位

以HBCTF的一道题讲解这几种方法:
在这里插入图片描述
如上,尝试解压压缩包时提示有密码,根据题干:比爆破更好的方法推测为伪加密,用三种方法来解此题:
1.用除windows外的系统直接打开压缩包
在Mac OS和部分Linux系统(如Kali)中,右键解压可直接打开伪加密的zip压缩包,笔者暂未明确何种Linux能打开伪加密压缩包,如有传授,不胜感激!
2.使用ZipCenOp.jar(需java环境) 使用方法在这里插入图片描述
经ZipCenOp.jar解密后的压缩包可直接打开
在这里插入图片描述
3. 用16进制编辑器修改加密标记位
在这里插入图片描述
如上图,修改加密标记位为00,保存,即可打开压缩包(关于zip文件的结构,请翻到本文最末0x07部分)
0x04. 爆破/字典/掩码攻击
把这三种归位一类是因为这三种方法在本质上都是逐个尝试,只不过待选密码的集合不同
1.爆破:顾名思义,逐个尝试选定集合中可以组成的所有密码,知道遇到正确密码
2.字典:字典攻击的效率比爆破稍高,因为字典中存储了常用的密码,因此就避免了爆破时把时间浪费在脸滚键盘类的密码上
3.掩码攻击:如果已知密码的某几位,如已知6位密码的第3位是a,那么可以构造 ??a??? 进行掩码攻击,掩码攻击的原理相当于构造了第3位为a的字典,因此掩码攻击的效率也比爆破高出不少
对这一类的zip问题,推荐windows下的神器AZPR
举例如下:
1.对爆破,以ISCC 2017 Basic-08为例,选定暴力攻击、字符集和长度后进行爆破在这里插入图片描述
点击开始,进行爆破,如下图,在4ms内就找到了密码为BIT
在这里插入图片描述
另:此题后续为简单的base64解密;爆破在密码长度小于6位时较快,因此如果在7位之内没有爆破出结果时,基本就可以考虑换个方法了;此题的正规解法是培根密码的转换
2. 字典,还以之前的ISCC 2017 Basic-07举例,从图片中分离出一个加密的zip压缩包,爆破无果后考虑字典攻击(可从网上下载字典,但大多数题目需要自己构造字典,文末的网盘连接里提供了常见的字典)
3.在这里插入图片描述
3.字典攻击的结果如下图,在字典选择合适的情况下,用很短的时间就能找到密码
在这里插入图片描述
4. 继续以此题为例,解压后的压缩包有一个txt文档和一个握手包,txt内容如下:在这里插入图片描述
因此可知握手包的密码为ISCC****的形式(*代表大写字母或数字),自己写程序构造字典
在这里插入图片描述
运行此程序得到字典如下:
在这里插入图片描述
之后用aircrack-ng来选中字典跑除握手包的密码如下图,不再详述
在这里插入图片描述
掩码攻击,以ISCC 2017 Misc-06为例,题目给了一个jpg图片,用0x02中的方法分离出加密的压缩包,根据题目提示:注意署名, 构造???LiHua的掩码(?可在自己定义的字符集中任意选择)进行掩码攻击,如下图:
在这里插入图片描述
攻击结果如下,只耗费了很少的时间就找到了密码
在这里插入图片描述
0x05. 明文攻击
明文攻击是一种较为高效的攻击手段,大致原理是当你不知道一个zip的密码,但是你有zip中的一个已知文件(文件大小要大于12Byte)时,因为同一个zip压缩包里的所有文件都是使用同一个加密密钥来加密的,所以可以用已知文件来找加密密钥,利用密钥来解锁其他加密文件,更详细的原理请读者自行谷歌
举个例子,已知 明文攻击.zip 中存在的文件 明文.txt,
因此将 明文.txt 压缩,这里需要判断明文压缩后的CRC32是否与加密文件中的一致,若不一致可以换一个压缩工具。
在这里插入图片描述
攻击过程如下:
在这里插入图片描述
点击开始,很快就恢复了密码
在这里插入图片描述
另:当明文的大小比较小时,攻击速度会比较慢;即使有时没有恢复密码,也可以使用明文攻击,最后点保存还是能得到压缩包里内容的。
0x06. CRC32碰撞
CRC32:CRC本身是“冗余校验码”的意思,CRC32则表示会产生一个32bit(8位十六进制数)的校验值。
在产生CRC32时,源数据块的每一位都参与了运算,因此即使数据块中只有一位发生改变也会得到不同的CRC32值,利用这个原理我们可以直接爆破出加密文件的内容
还是以之前HBCTF伪加密那道题为例,另一种解法就是CRC32碰撞,打开压缩包,可以看出压缩文件 flag6位数
的CRC32值为0x9c4d9a5d
在这里插入图片描述
因此写出碰撞的脚本如下:
在这里插入图片描述
要特别注意
在这里插入图片描述

在 Python 2.x 的版本中,binascii.crc32 所计算出來的 CRC 值域为[-2^31, 2^31-1] 之间的有符号整数,为了要与一般CRC 结果作比对,需要将其转为无符号整数,所以加上& 0xffffffff来进行转换。如果是 Python 3.x 的版本,其计算结果为 [0, 2^32-1] 间的无符号整数,因此不需额外加上& 0xffffffff 。
脚本的运行结果如下,即为压缩文件的内容:
在这里插入图片描述
再举另一个bugku中的例子,下载下来的文件是68个压缩包,并且根据binwalk的检查结果,每个压缩包里都有一个大小为4个字节,名为out.txt的压缩文件
在这里插入图片描述
用如下的脚本碰撞出所有压缩包中的数据:
在这里插入图片描述
此题较为繁琐,之后的步骤不再展开
另:限于CPU的能力,CRC碰撞只能用于压缩文件较小的情况

0x07. 修改格式
这种情况花样较多,难以做一个详细的总结,因此只列举最常见的缺少文件头或文件尾。
放一个zip文件格式讲的较清楚的链接,通过对zip文件格式的了解,可以解释之前伪加密的问题,同时也可以对缺少文件头或文件尾有更直观的认识。
在这里插入图片描述
如上为正常zip,缺头zip和缺尾zip的binwalk扫描结果,根据扫描结果用16进制编辑器添加文件头或文件尾,即可修复zip。
总结
Zip不仅是我们生活中常用到的一种文件格式,在CTF中也经常遇到,这里做了一个关于CTF中zip的总结,如果对读者有帮助,鄙人不胜荣幸。

                                </div>
            <link href="https://csdnimg.cn/release/phoenix/mdeditor/markdown_views-b6c3c6d139.css" rel="stylesheet">
                                            <div class="more-toolbox">
            <div class="left-toolbox">
                <ul class="toolbox-list">
                    
                    <li class="tool-item tool-active is-like "><a href="javascript:;"><svg class="icon" aria-hidden="true">
                        <use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="#csdnc-thumbsup"></use>
                    </svg><span class="name">点赞</span>
                    <span class="count">3</span>
                    </a></li>
                    <li class="tool-item tool-active is-collection "><a href="javascript:;" data-report-click="{&quot;mod&quot;:&quot;popu_824&quot;}"><svg class="icon" aria-hidden="true">
                        <use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="#icon-csdnc-Collection-G"></use>
                    </svg><span class="name">收藏</span></a></li>
                    <li class="tool-item tool-active is-share"><a href="javascript:;" data-report-click="{&quot;mod&quot;:&quot;1582594662_002&quot;}"><svg class="icon" aria-hidden="true">
                        <use xmlns:xlink="http://www.w3.org/1999/xlink" xlink:href="#icon-csdnc-fenxiang"></use>
                    </svg>分享</a></li>
                    <!--打赏开始-->
                                            <!--打赏结束-->
                                            <li class="tool-item tool-more">
                        <a>
                        <svg t="1575545411852" class="icon" viewBox="0 0 1024 1024" version="1.1" xmlns="http://www.w3.org/2000/svg" p-id="5717" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200"><defs><style type="text/css"></style></defs><path d="M179.176 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5718"></path><path d="M509.684 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5719"></path><path d="M846.175 499.222m-113.245 0a113.245 113.245 0 1 0 226.49 0 113.245 113.245 0 1 0-226.49 0Z" p-id="5720"></path></svg>
                        </a>
                        <ul class="more-box">
                            <li class="item"><a class="article-report">文章举报</a></li>
                        </ul>
                    </li>
                                        </ul>
            </div>
                        </div>
        <div class="person-messagebox">
            <div class="left-message"><a href="https://blog.csdn.net/shenzhang7331">
                <img src="https://profile.csdnimg.cn/9/6/E/3_shenzhang7331" class="avatar_pic" username="shenzhang7331">
                                        <img src="https://g.csdnimg.cn/static/user-reg-year/2x/4.png" class="user-years">
                                </a></div>
            <div class="middle-message">
                                    <div class="title"><span class="tit"><a href="https://blog.csdn.net/shenzhang7331" data-report-click="{&quot;mod&quot;:&quot;popu_379&quot;}" target="_blank">段_Ross</a></span>
                                        </div>
                <div class="text"><span>发布了10 篇原创文章</span> · <span>获赞 9</span> · <span>访问量 9688</span></div>
            </div>
                            <div class="right-message">
                                        <a href="https://im.csdn.net/im/main.html?userName=shenzhang7331" target="_blank" class="btn btn-sm btn-red-hollow bt-button personal-letter">私信
                    </a>
                                                        <a class="btn btn-sm  bt-button personal-watch" data-report-click="{&quot;mod&quot;:&quot;popu_379&quot;}">关注</a>
                                </div>
                        </div>
                </div><div id="article_content" class="article_content clearfix">
        <link rel="stylesheet" href="https://csdnimg.cn/release/phoenix/template/css/ck_htmledit_views-833878f763.css">
                        <div id="content_views" class="markdown_views prism-atom-one-dark">
                <!-- flowchart 箭头图标 勿删 -->
                <svg xmlns="http://www.w3.org/2000/svg" style="display: none;">
                    <path stroke-linecap="round" d="M5,0 0,2.5 5,5z" id="raphael-marker-block" style="-webkit-tap-highlight-color: rgba(0, 0, 0, 0);"></path>
                </svg>
                                        <p>加密zip包基本上只有三条思路:伪加密,爆破,明文思路</p>

1.zip加密暴力破解、字典破解

ZIP压缩方式支持密码加密。加密的时候会在文件头部保存密钥相关信息。fcrackzip是Kali自带的一款工具。它支持暴力破解和字典破解两种模式。
该工具只支持ZIP压缩文件,不支持RAR压缩文件。因为这两种文件使用不同的压缩算法。

 目录
隐写篇
0x01. 通过进制转换隐藏信息
0x02. 在图片中隐藏压缩包(图种)
加密篇
0x03. 伪加密
0x04. 爆破/字典/掩码攻击
0x05. 明文攻击
0x06. CRC32碰撞
格式篇
0x07. 修改格式

 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

0x01. 通过进制转换隐藏信息
这种方法比较简单,直接拿一道题讲解(题目来自ISCC 2017 Basic-04)。题目给了一个txt文档如下图
在这里插入图片描述
经过观察,所有数据都在16进制能表示的范围之内,因此先尝试使用十六进制编码解密,python脚本如下:
在这里插入图片描述
运行结果如下,虽然存在大量乱码,但还是能看到flag.txt,因此猜测txt中的这段字符是zip包的16进制表示(同时开头的PK也暗示这是一个zip包,PK是zip格式发明者Phil Katz的名称缩写,zip的前两个字母就用了PK)
在这里插入图片描述
将此16进制文件导入到16进制编辑器中,这里用010editor做演示
在这里插入图片描述
导入后选择 Save As(快捷键 ctrl + shift + s),给新文件命名时加上后缀.zip,保存后发现zip文件是正常的,因此证明思路正确,

另:除了16进制的编码转换,有时还会遇到2进制编码的转换,思路相同,不再复述

 
 
  • 1

0x02. 在图片中隐藏压缩包(图种)
这种方法大概是zip中最常见的,多用于在一张图片中隐藏一个压缩包,这种方法的原理是:以jpg格式的图片为例,一个完整的 JPG 文件由 FF D8 开头,FF D9结尾,图片浏览器会忽略 FF D9 以后的内容,因此可以在 JPG 文件中加入其他文件。
也以一道题为例为例(ISCC 2017 Basic-07),对于这种隐写最简单的方法是使用Kali下的binwalk进行检测,binwalk 图片名 如下,检测出图片中存在压缩包
在这里插入图片描述
分离这个压缩包利用Linux下的foremost工具, foremost 图片名 如下,foremost默认的输出文件夹为output,在这个文件夹中可以找到分离出的zip(推荐使用这种方法,因为foremost还能分离出其他隐藏的文件)
另:本题后续步骤为构造字典,爆破握手包
0x03. 伪加密
Zip伪加密与zip的文件格式有关(zip的格式详解请翻到本文的最后0x07部分),zip中有一位是标记文件是否加密的,如果更改一个未加密zip包的加密标记位,那么在打开压缩包时就会提示该文件是加密的。
对于伪加密有以下几种方法:
1.在Mac OS及部分Linux(如Kali)系统中,可以直接打开伪加密的zip压缩包
2.使用检测伪加密的ZipCenOp.jar,解密后如果能成功打开zip包,则是伪加密,否则说明思路错误
3. 使用16进制编辑器改回加密标记位

以HBCTF的一道题讲解这几种方法:
在这里插入图片描述
如上,尝试解压压缩包时提示有密码,根据题干:比爆破更好的方法推测为伪加密,用三种方法来解此题:
1.用除windows外的系统直接打开压缩包
在Mac OS和部分Linux系统(如Kali)中,右键解压可直接打开伪加密的zip压缩包,笔者暂未明确何种Linux能打开伪加密压缩包,如有传授,不胜感激!
2.使用ZipCenOp.jar(需java环境) 使用方法在这里插入图片描述
经ZipCenOp.jar解密后的压缩包可直接打开
在这里插入图片描述
3. 用16进制编辑器修改加密标记位
在这里插入图片描述
如上图,修改加密标记位为00,保存,即可打开压缩包(关于zip文件的结构,请翻到本文最末0x07部分)
0x04. 爆破/字典/掩码攻击
把这三种归位一类是因为这三种方法在本质上都是逐个尝试,只不过待选密码的集合不同
1.爆破:顾名思义,逐个尝试选定集合中可以组成的所有密码,知道遇到正确密码
2.字典:字典攻击的效率比爆破稍高,因为字典中存储了常用的密码,因此就避免了爆破时把时间浪费在脸滚键盘类的密码上
3.掩码攻击:如果已知密码的某几位,如已知6位密码的第3位是a,那么可以构造 ??a??? 进行掩码攻击,掩码攻击的原理相当于构造了第3位为a的字典,因此掩码攻击的效率也比爆破高出不少
对这一类的zip问题,推荐windows下的神器AZPR
举例如下:
1.对爆破,以ISCC 2017 Basic-08为例,选定暴力攻击、字符集和长度后进行爆破在这里插入图片描述
点击开始,进行爆破,如下图,在4ms内就找到了密码为BIT
在这里插入图片描述
另:此题后续为简单的base64解密;爆破在密码长度小于6位时较快,因此如果在7位之内没有爆破出结果时,基本就可以考虑换个方法了;此题的正规解法是培根密码的转换
2. 字典,还以之前的ISCC 2017 Basic-07举例,从图片中分离出一个加密的zip压缩包,爆破无果后考虑字典攻击(可从网上下载字典,但大多数题目需要自己构造字典,文末的网盘连接里提供了常见的字典)
3.在这里插入图片描述
3.字典攻击的结果如下图,在字典选择合适的情况下,用很短的时间就能找到密码
在这里插入图片描述
4. 继续以此题为例,解压后的压缩包有一个txt文档和一个握手包,txt内容如下:在这里插入图片描述
因此可知握手包的密码为ISCC****的形式(*代表大写字母或数字),自己写程序构造字典
在这里插入图片描述
运行此程序得到字典如下:
在这里插入图片描述
之后用aircrack-ng来选中字典跑除握手包的密码如下图,不再详述
在这里插入图片描述
掩码攻击,以ISCC 2017 Misc-06为例,题目给了一个jpg图片,用0x02中的方法分离出加密的压缩包,根据题目提示:注意署名, 构造???LiHua的掩码(?可在自己定义的字符集中任意选择)进行掩码攻击,如下图:
在这里插入图片描述
攻击结果如下,只耗费了很少的时间就找到了密码
在这里插入图片描述
0x05. 明文攻击
明文攻击是一种较为高效的攻击手段,大致原理是当你不知道一个zip的密码,但是你有zip中的一个已知文件(文件大小要大于12Byte)时,因为同一个zip压缩包里的所有文件都是使用同一个加密密钥来加密的,所以可以用已知文件来找加密密钥,利用密钥来解锁其他加密文件,更详细的原理请读者自行谷歌
举个例子,已知 明文攻击.zip 中存在的文件 明文.txt,
因此将 明文.txt 压缩,这里需要判断明文压缩后的CRC32是否与加密文件中的一致,若不一致可以换一个压缩工具。
在这里插入图片描述
攻击过程如下:
在这里插入图片描述
点击开始,很快就恢复了密码
在这里插入图片描述
另:当明文的大小比较小时,攻击速度会比较慢;即使有时没有恢复密码,也可以使用明文攻击,最后点保存还是能得到压缩包里内容的。
0x06. CRC32碰撞
CRC32:CRC本身是“冗余校验码”的意思,CRC32则表示会产生一个32bit(8位十六进制数)的校验值。
在产生CRC32时,源数据块的每一位都参与了运算,因此即使数据块中只有一位发生改变也会得到不同的CRC32值,利用这个原理我们可以直接爆破出加密文件的内容
还是以之前HBCTF伪加密那道题为例,另一种解法就是CRC32碰撞,打开压缩包,可以看出压缩文件 flag6位数
的CRC32值为0x9c4d9a5d
在这里插入图片描述
因此写出碰撞的脚本如下:
在这里插入图片描述
要特别注意
在这里插入图片描述

在 Python 2.x 的版本中,binascii.crc32 所计算出來的 CRC 值域为[-2^31, 2^31-1] 之间的有符号整数,为了要与一般CRC 结果作比对,需要将其转为无符号整数,所以加上& 0xffffffff来进行转换。如果是 Python 3.x 的版本,其计算结果为 [0, 2^32-1] 间的无符号整数,因此不需额外加上& 0xffffffff 。
脚本的运行结果如下,即为压缩文件的内容:
在这里插入图片描述
再举另一个bugku中的例子,下载下来的文件是68个压缩包,并且根据binwalk的检查结果,每个压缩包里都有一个大小为4个字节,名为out.txt的压缩文件
在这里插入图片描述
用如下的脚本碰撞出所有压缩包中的数据:
在这里插入图片描述
此题较为繁琐,之后的步骤不再展开
另:限于CPU的能力,CRC碰撞只能用于压缩文件较小的情况

0x07. 修改格式
这种情况花样较多,难以做一个详细的总结,因此只列举最常见的缺少文件头或文件尾。
放一个zip文件格式讲的较清楚的链接,通过对zip文件格式的了解,可以解释之前伪加密的问题,同时也可以对缺少文件头或文件尾有更直观的认识。
在这里插入图片描述
如上为正常zip,缺头zip和缺尾zip的binwalk扫描结果,根据扫描结果用16进制编辑器添加文件头或文件尾,即可修复zip。
总结
Zip不仅是我们生活中常用到的一种文件格式,在CTF中也经常遇到,这里做了一个关于CTF中zip的总结,如果对读者有帮助,鄙人不胜荣幸。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值