CTF压缩包隐写类(zip、RAR、zip伪加密)

admin 2022年11月24日21:30:17CTF专场CTF压缩包隐写类(zip、RAR、zip伪加密)已关闭评论12 views2255字阅读7分31秒阅读模式

一、zip

CTF中的压缩包隐写一般有这样几个套路

1、通过编码转换隐藏信息(common)
比如给出一堆字符或数字,仔细观察为某种进制,将其解码为十六进制,观察其文件头是压缩包或者是其他格式,修改后缀名后解压得flag

2、在文件中隐藏压缩包(图种)
在CTF压缩包隐写中最为常见,多用于在一个文件中隐藏一个压缩包

原理:以jpg格式为例,完整的JPG由FF D8开头,FF D9结束,图片浏览器会忽略FF D9之后的内容,因此可以在JPG文件之后加入其他的文件。

利用foremost,dd或者直接将其修改为压缩包后缀进行提取。
推荐使用foremost,因为foremost还可以分离其他隐藏的文件。
修改为ZIP文件虽然方法简单,但是如果隐写了多个文件时可能会失败。
以前不知道foremost的时候一直是用dd分离的,后边知道了foremost就一直用的foremost。

3、伪加密
原理:ZIP伪加密是在文件头的加密标志位进行修改,进而再次打开文件时被识别为加密压缩包。

ZIP文件主要由三个部分组成:压缩源文件数据区 + 核心目录 + 目录结束标志

压缩源文件数据区

local file header + file data + data descriptor

local file header:文件头用于标识该文件的开始,记录了该压缩文件的信息,
这里的文件头标识由固定值 50 4B 03 04 开头,也是 ZIP 的文件头的重要标志。

file data:文件数据记录了相应压缩文件的数据。

data descriptor:数据描述符用于标识该文件压缩结束,
该结构只有在相应的 local file header 中通用标记字段的第 3 bit设为 1 时才会出现,
紧接在压缩文件源数据后。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
50 4B 03 04:这是头文件标记(0x04034b50) 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密) 
08 00:压缩方式 
5A 7E:最后修改文件时间 
F7 46:最后修改文件日期 
16 B5 80 14:CRC-32校验(1480B516) 
19 00 00 00:压缩后尺寸(25) 
17 00 00 00:未压缩尺寸(23) 
07 00:文件名长度 
00 00:扩展记录长度 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500 (直到核心目录文件头标识)
在这里插入图片描述

压缩源文件目录区

记录了压缩文件的目录信息,在这个数据区中每一条纪录对应在压缩源文件数据区中的一条数据。

50 4B 01 02:目录中文件文件头标记(0x02014b50)  
3F 00:压缩使用的 pkware 版本  
14 00:解压文件所需 pkware 版本  
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了)  
08 00:压缩方式  
5A 7E:最后修改文件时间  
F7 46:最后修改文件日期 

16 B5 80 14:CRC-32校验(1480B516)  
19 00 00 00:压缩后尺寸(25)  
17 00 00 00:未压缩尺寸(23)  
07 00:文件名长度  
24 00:扩展字段长度  
00 00:文件注释长度  
00 00:磁盘开始号  
00 00:内部文件属性  
20 00 00 00:外部文件属性  
00 00 00 00:局部头部偏移量  
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001 (直到目录结束标识头)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

CTF压缩包隐写类(zip、RAR、zip伪加密)
在这里插入图片描述

目录结束标识(End of Central Directory Record)

存在于整个归档包的结尾,用于标记压缩的目录数据的结束。每个压缩文件必须有且只有一个结束标识。

50 4B 05 06:目录结束标记  
00 00:当前磁盘编号  
00 00:目录区开始磁盘编号  
01 00:本磁盘上纪录总数  
01 00:目录区中纪录总数  
59 00 00 00:目录区尺寸大小  
3E 00 00 00:目录区对第一张磁盘的偏移量  
00 00:ZIP 文件注释长度
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

在这里插入图片描述

zip伪加密

zip伪加密是在文件头的加密标志位做修改,进而再打开文件时识被别为加密压缩包。

如果把第二个加密标记位的00 00改为09 00,打开就会提示有密码:
CTF压缩包隐写类(zip、RAR、zip伪加密)
其实改成09只是举的一个例子,只要末位是奇数,就代表加密,反之,末位是偶数代表未加密。
有时这里是01,也代表加密!不用更改!

识别真假加密

无加密
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为00 00

假加密
压缩源文件数据区的全局加密应当为00 00
且压缩源文件目录区的全局方式位标记应当为09 00

真加密
压缩源文件数据区的全局加密应当为09 00
且压缩源文件目录区的全局方式位标记应当为09 00
在这里插入图片描述

二、RAR

文件格式

RAR 文件主要由标记块,压缩文件头块,文件头块,结尾块组成。

其每一块大致分为以下几个字段:
CTF压缩包隐写类(zip、RAR、zip伪加密)
RAR压缩包的文件头为:52 61 72 21 1A 07 00

其后是标记块(MARK_HEAD),还有文件头(FILE_HEAD)。

更多信息见:http://www.forensicswiki.org/wiki/RAR

主要攻击方式

1、爆破

利用linux下的rarcrack(http://rarcrack.sourceforge.net/)

2、伪加密

RAR 文件的伪加密在文件头中的位标记字段上,用 010 Editor 可以很清楚的看见这一位,修改这一位可以造成伪加密。

3、其他如明文攻击等方法与ZIP相同。

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月24日21:30:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CTF压缩包隐写类(zip、RAR、zip伪加密) https://cn-sec.com/archives/1425728.html