ZIP文件伪加密

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ZIP文件伪加密相关的知识,希望对你有一定的参考价值。

312313123

 

题目给出图片,那当然是从图片下手啦!

首先下载图片,在Linux系统下用binwalk工具打开,果然不出所料,里面藏有文件!

技术分享

 

用dd把它分解出来!

 

技术分享

 

‘txt’ 格式的文件提取出来!会看到一个Zip压缩包

技术分享

技术分享

 

不能直接解密,文件被加密了,返回Windows(你也可以用Linux的分析工具)

打开二进制分析工具ultraedit  看到加密部分(即4B前面的50)

技术分享

 

把50修改为00 ,不懂的就自己百度!

技术分享

 

之后解压就得出key.txt文件:

技术分享

 

 

最后答案:

 

http://www.shiyanbar.com/ctf/716

 

简述


在上一篇博客:实验吧/隐写术/小家伙挺可爱中遇到了zip伪加密这个概念,于是乎找了很多资料,来简单记录下我的心路历程吧~^_^~

原理


zip伪加密是在文件头的加密标志位做修改,进而再打开文件时识被别为加密压缩包。

背景


首先,我们来看zip文件头协议。这里以中文资料为证,但是仍然建议大家去http://www.pkware.com 阅读官方文档,虽然英文读起来有些困难。

一个 ZIP 文件由三个部分组成:

压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志 
查看详情

实例

下面给出西普的一个实例: 
技术分享 
压缩源文件数据区: 
50 4B 03 04:这是头文件标记(0x04034b50) 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密) 
08 00:压缩方式 
5A 7E:最后修改文件时间 
F7 46:最后修改文件日期 
16 B5 80 14:CRC-32校验(1480B516) 
19 00 00 00:压缩后尺寸(25) 
17 00 00 00:未压缩尺寸(23) 
07 00:文件名长度 
00 00:扩展记录长度 
6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500 
压缩源文件目录区: 
50 4B 01 02:目录中文件文件头标记(0x02014b50) 
3F 00:压缩使用的 pkware 版本 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了) 
08 00:压缩方式 
5A 7E:最后修改文件时间 
F7 46:最后修改文件日期 
16 B5 80 14:CRC-32校验(1480B516) 
19 00 00 00:压缩后尺寸(25) 
17 00 00 00:未压缩尺寸(23) 
07 00:文件名长度 
24 00:扩展字段长度 
00 00:文件注释长度 
00 00:磁盘开始号 
00 00:内部文件属性 
20 00 00 00:外部文件属性 
00 00 00 00:局部头部偏移量 
6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001 
压缩源文件目录结束标志: 
50 4B 05 06:目录结束标记 
00 00:当前磁盘编号 
00 00:目录区开始磁盘编号 
01 00:本磁盘上纪录总数 
01 00:目录区中纪录总数 
59 00 00 00:目录区尺寸大小 
3E 00 00 00:目录区对第一张磁盘的偏移量 
00 00:ZIP 文件注释长度

猜想


所以如果把一个zip文件的文件头或者加密标志位进行适当修改,那就可能会改变文件的可读性了呗!

测试(一)


亲测例子:先压缩一个1.zip,再用Winhex打开,如下图:

技术分享

压缩源文件数据区: 
50 4B 03 04:这是头文件标记 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密) 
08 00:压缩方式 
07 76:最后修改文件时间 
F2 48:最后修改文件日期 
…… 
压缩源文件目录区: 
50 4B 01 02:目录中文件文件头标记(0x02014b50) 
1F 00:压缩使用的 pkware 版本 
14 00:解压文件所需 pkware 版本 
00 00:全局方式位标记(有无加密,这个更改这里进行伪加密,改为09 00打开就会提示有密码了) 
08 00:压缩方式 
07 76:最后修改文件时间 
F2 48:最后修改文件日期 
……

综上所述,如果把第二个加密标记位的00 00改为09 00,打开就会提示有密码: 
技术分享 
技术分享

于是乎,这样就达到了zip伪加密的目的,可是这里又有一个疑问了,你可能会问,为什么改成09,而不是其他的数字呢,其实改成09只是举的一个例子,只要末位是奇数,就代表加密,反之,末位是偶数代表未加密(这是我猜想的,具体操作也符合我的猜想,可我不知道这个原理是什么,如果你了解的话,欢迎来分享分享~^_^)

测试(二)


猜想:

既然加密标志位可以修改,那头文件标记位应该也能修改吧,试试咯~:

技术分享

把文本区原来显示的PK位的50 4B改成其他数据,再打开zip文件:

技术分享 
显然,这样也使zip文件不可读!

 































































以上是关于ZIP文件伪加密的主要内容,如果未能解决你的问题,请参考以下文章

APK伪加密

miscbuu-面具下的flag——zip伪加密+用NTFS流隐藏文件

miscbuu-面具下的flag——zip伪加密+用NTFS流隐藏文件

miscbuu-面具下的flag——zip伪加密+用NTFS流隐藏文件

zip伪加密文件分析(进阶版)

MISC:压缩包取证(zip爆破明文攻击伪加密CRC32碰撞)