1 |
|
真加密:FILERECORD
和DIRENTRY
的deFlags
均为奇数。
已知明文攻击
判断压缩工具:deVersionMadeBy
Bandizip 7.06 | 20 |
---|---|
Windows自带 | 20 |
WinRAR 4.20 | 31 |
WinRAR 5.70 | 31 |
7-Zip | 63 |
注意:7-zip压缩要右键选择添加到name.zip
,如果选择添加到压缩包
,压缩等级
需要选择标准压缩
!!!
传统已知明文攻击
windows使用ARCHPR,Linux使用pkcrack
- 完整的明文文件
- 明文文件需要被相同的压缩算法标准压缩(也可理解为被相同压缩工具压缩)
- 明文对应文件的加密算法需要是 ZipCrypto Deflate /Store
已知少部分明文字节
- 至少已知明文的12个字节及偏移,其中至少8字节需要连续。
- 明文对应的文件加密方式为ZipCrypto Store
1.文本格式,已知:*lag{16e3********************74f6********
1 |
|
2.png文件头
1 |
|
3.利用压缩包格式,名为flag.txt的文件打包成ZIP压缩包后,文件名称会出现在压缩包文件头中,且偏移固定为30。
1 |
|
4.exe格式
1 |
|
5.流量包pcapng格式
1 |
|
6.网站相关文件格式
1 |
|
得到key以后
1 |
|
若想解密2.png,由于是ZipCrypto deflate加密的,所以解密后需要bkcrack/tool内的inflate.py脚本再次处理,或ARPZ已知明文选项解压。
1 |
|
7-zip
cRARk for 7-Zip
1 |
|