吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3755|回复: 12
收起左侧

[CTF] 【misc】buu-面具下的flag——zip伪加密+用NTFS流隐藏文件

  [复制链接]
hans7 发表于 2022-9-25 13:49
本帖最后由 hans7 于 2022-9-25 14:06 编辑

依赖

  • Windows10
  • 虚拟机Ubuntu20.04
  • 开源工具foremost

zip伪加密

作者:hans774882968以及hans774882968以及hans774882968

本文52pojie:https://www.52pojie.cn/thread-1692457-1-1.html

本文juejin:https://juejin.cn/post/7147192971103272990/

本文csdn:https://blog.csdn.net/hans774882968/article/details/127037336

题目给了我们一个mainju.jpg,图片无特殊信息,因此我们首先尝试去找其中的隐藏文件。在power shell里使用foremost开源工具:

.\foremost -i <mainju.jpg的路径>

可以获得一个zip文件。但是解压要求密码。因为没有任何提示(比如密码范围可枚举、有其他隐藏的数据),所以可以考虑这个zip是否是伪加密。根据参考链接1,搜索50 4b 01 02(只有1处出现),找到压缩源文件目录区,把其第9个字节从09修改为00,即可去除伪加密。

2.jpg

zip解压获得flag.vmdk

vmdk也是一种压缩包,可以用7z解压。在Ubuntu下,先安装7z,再解压flag.vmdk

sudo apt install p7zip-full # 注意要安装full的,而不是仅仅p7zip
7z x flag.vmdk -o./flag # 注意这里-o和输出路径之间没有空格的。解压到flag文件夹(不存在会自动创建)

我们可以在Ubuntu下直接看到所有相关的文件,tree命令安装见附录2。

1.jpg

但如果你是在Windows下解压的,那么因为文件名带冒号的文件被视为NTFS流的非主文件流(简称非主流),所以你看不见这些文件。附录1提供了一个NTFS的入门实验,像我这么鶸的可以过一遍qwq。

获取flag

key_part_onekey_part_two涉及BrainfuckOok!。根据参考链接2,可以在这个网站运行BrainfuckOok!代码。

key_part_one/NUL

+++++ +++++ [->++ +++++ +++<] >++.+ +++++ .<+++ [->-- -<]>- -.+++ +++.<
++++[ ->+++ +<]>+ +++.< +++++ +[->- ----- <]>-- ----- --.<+ +++[- >----
<]>-- ----- .<+++ [->++ +<]>+ +++++ .<+++ +[->- ---<] >-.<+ +++++ [->++
++++< ]>+++ +++.< +++++ [->-- ---<] >---- -.+++ .<+++ [->-- -<]>- ----- .<

获得

flag{N7F5_AD5

key_part_two/where_is_flag_part_two.txt:flag_part_two_is_here.txt

Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook?
Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook!
Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook.
Ook. Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook? Ook. Ook? Ook! Ook. Ook?
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook.
Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook!
Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook?
Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook. Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook! Ook. Ook?
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook. Ook.
Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook!
Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook! Ook! Ook. Ook? Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook!
Ook? Ook. Ook? Ook! Ook. Ook? Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook! Ook!
Ook! Ook! Ook! Ook! Ook! Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook! Ook? Ook!
Ook! Ook. Ook? Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook? Ook. Ook? Ook! Ook. Ook? Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook. Ook.
Ook. Ook. Ook. Ook. Ook! Ook. Ook? Ook.

获得

_i5_funny!}

flag{N7F5_AD5_i5_funny!}

附录1:用NTFS流隐藏文件

NTFS交换数据流(Alternate Data Streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中,而我们无法看到非主文件的数据流。它使用资源派生来维持与文件相关的信息。

根据参考链接3,做个小实验(与本题无关)。在cmd下执行

echo hans acmer> NTFS_demo.txt:1.txt # 注意大于号左侧没有空格,因为会被当成文本内容

可得到一个NTFS_demo.txt,里面没有内容,但是看不到NTFS_demo.txt:1.txt。若以上命令在power shell下执行,会报错名为“NTFS_demo.txt”的驱动器不存在。

接下来可以用命令打开NTFS_demo.txt:1.txt(cmd或power shell下均可)

notepad NTFS_demo.txt:1.txt

此时可以看到NTFS_demo.txt:1.txt文件内容。

当然我们还可以更进阶地用IDE来查看文件。比如用Notepad++打开NTFS_demo.txt:1.txt(cmd或power shell下均可)

<notepad++.exe的路径> <NTFS_demo.txt:1.txt的路径>

附录2:Ubuntu安装tree命令

不需要像 https://zhuanlan.zhihu.com/p/260822274 这里这么麻烦,直接apt安装即可。

sudo apt install tree

参考资料

  1. zip伪加密:https://blog.csdn.net/wo41ge/article/details/109671137、https://blog.csdn.net/qq_26187985/article/details/83654197
  2. https://blog.csdn.net/weixin_45485719/article/details/107417878
  3. NTFS:https://www.jianshu.com/p/a812a78f8646

免费评分

参与人数 7吾爱币 +12 热心值 +6 收起 理由
Neko + 1 谢谢@Thanks!
emptynullnill + 1 + 1 谢谢@Thanks!
黑色枪骑兵 + 1 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qq63 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
笙若 + 1 + 1 谢谢@Thanks!
Koardor + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| hans7 发表于 2022-11-1 21:49
424197222 发表于 2022-11-1 15:03
老板,我想问一下。这种伪加密怎么破解密码

伪加密应该是什么密码都不对吧?所以遇到要密码的都首先怀疑是伪加密,修改无效再尝试找密码。
zhangzhequan 发表于 2022-9-26 15:07
[Bash shell] 纯文本查看 复制代码
dir /r 
能显示隐藏的文件
 楼主| hans7 发表于 2022-9-26 22:42
sdieedu 发表于 2022-9-27 07:15
没看懂。。。。。。
kotlyne 发表于 2022-9-27 17:17
学习了!!
 楼主| hans7 发表于 2022-9-28 01:48
sdieedu 发表于 2022-9-27 07:15
没看懂。。。。。。

当作大学的实验课,跟着配环境+做一遍,就懂了
LHCAILGT 发表于 2022-9-28 12:29
感谢分享。有你更好。
黑色枪骑兵 发表于 2022-9-28 15:32
感谢分享,支持楼主。
emptynullnill 发表于 2022-9-29 09:12
nice,学到一种方法,zip伪加密
trojankyo 发表于 2022-10-2 09:30
谢谢,又学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 16:49

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表