CTF解题实录——2024年网鼎杯白虎赛道Misc04
一、题目
一天,某单位收到一个奇怪的文件,文件中的内容让人觉得存在安全隐患,于是你迅速联系我,邀请我一同进行对文件进行分析。
文件看附件。
二、解题过程与思路
1.分析文件
用010 Editor打开三个文件
分析文件1,应该是一个zip文件,
仔细分析,里面可能包含2各文件11.zip和2.zip
2.提取2.zip文件
根据zip的文件头,将1:A630h行到最后复制生成1-2.zip文件
解压该文件,里面是2.png文件,但需要解压密码。
3.1-2.zip的伪代码处理
使用010 Editor的tmplates->archive->zip分析
发现ushort frFlags=0和struct ZIPDIRENTRY dirEntry[0]中的ushort deFlags=9
按照zip伪加密的压缩效果,这两个字段不同值,展示效果不一样:
winrar 360zip binwalk
奇偶 可解 输密 不解
偶奇 输密 可解 可解
奇奇 输密 输密 不解
尝试将ushort deFlags改为0,文件可解压
解压后,2.png经过图片转换后,提取里面的文本信息:904bea4860s4eg5}
4.提取11.zip文件
根据zip文件头,将0020h到1:A620h的行复制到新文件生成1-1.zip文件
解压该文件&