Ctf压缩包隐写

CTF 压缩包隐写 全讲解思路工具考点实操CTF 压缩包隐写主流针对 ZIP / RAR / 7Z核心考点伪加密、密码爆破、文件嵌套、注释隐写、分卷压缩、文件拼接、CRC碰撞、隐写文件流下面按做题顺序逐一拆解。一、前置基础先判断压缩包基本状态1. 查看真实文件类型 基本信息命令Kali/Linuxbashfile test.zip # 识别真实格式判断是否后缀伪装unzip -l test.zip # 查看压缩包内文件列表、大小、注释7z l test.7z # 查看7z压缩包内容关键点- 后缀是 .zip file 识别不是压缩包 → 后缀伪装按图片/二进制文件处理- 压缩包体积异常、内部文件数量多 → 大概率嵌套/拼接隐写2. 查看压缩包注释高频考点出题人常把 flag / 密码直接写在压缩包全局注释 / 文件注释里- Linuxbashunzip -z test.zip # 查看ZIP注释- WindowsWinRAR/7z 右键压缩包 → 属性/注释 直接查看二、考点1ZIP 伪加密最常考入门必会原理ZIP 文件有加密标记位正常未加密全局加密位 00伪加密人为把标记位改成 01系统误以为加密实际无密码也能解压。肉眼现象双击提示「需要密码」但本身没有加密。两种修复方法方法1010Editor / WinHex 手动修复通用1. 十六进制打开 zip 文件2. 搜索特征串 50 4B 01 02 ZIP 目录文件头3. 往后数 第 9、10 字节加密标志位- 把 01 00 改成 00 004. 保存重新解压即可方法2工具一键修复懒人首选1. ZipCenOp.jarJava 工具CTF 标配bashjava -jar ZipCenOp.jar r test.zip # r修复伪加密2. 在线工具搜索 ZIP伪加密修复上传一键处理区分局部加密单个文件加密≠ 伪加密伪加密改位即可真加密需要爆破密码。三、考点2压缩包密码爆破真加密分 弱密码、字典爆破、掩码爆破、RAR专属爆破1. ZIP 密码爆破Kali fcrackzip1字典爆破最常用bash# 使用字典爆破fcrackzip -D -p 字典.txt test.zip# 常用参数-D 使用字典模式-p 指定字典文件-u 只输出正确密码自带弱口令字典路径 /usr/share/wordlists/rockyou.txt2纯数字/简单字符爆破暴力bash# 纯数字 1~6 位暴力破解fcrackzip -b -c 1 -l 1-6 -u test.zip-b 暴力模式-c 1 纯数字-c a 小写字母-c A 大写-c ! 符号-l 密码长度范围2. RAR 密码爆破RAR 加密强度高优先用工具- rarcrackKalibashrarcrack test.rar --type rar- WindowsRAR Password Recovery、ARCHPR图形化速度快3. 通用技巧- 题目提示、图片隐写、流量包内往往藏压缩包密码- 优先尝试弱口令 123456 、 ctf 、 flag 、 admin 、空密码四、考点3文件嵌套 / 多层压缩现象解压一层压缩包里面还是 zip/rar/7z多层套娃层层解密。做题流程1. 逐层解压记录每一层提示、注释、文件名2. 每一层都检查伪加密、注释、文件名、文件大小3. 最后一层一般直接出 flag 文件txt/图片坑点某一层是伪加密别直接爆破密码先修复五、考点4压缩包 文件拼接图片压缩包组合和图片隐写 binwalk 联动经典组合题场景一张图片 xxx.jpg 尾部拼接了 ZIP/RAR表面是图实际内含压缩包。操作1. 用 binwalk 检测并提取bashbinwalk xxx.jpgbinwalk -e xxx.jpg # 自动分离出内部压缩包2. 对分离出的压缩包再按上面规则查注释 → 修伪加密 → 爆破密码 → 解压六、考点5分卷压缩包多个 part 组合特征文件 part1.zip 、 part2.zip 、 part3.zip … 分卷压缩包解题规则1. 所有分卷必须放在同一个文件夹2. 直接打开 第一个分卷 part1软件会自动读取后续分卷3. 分卷本身也可能带密码、伪加密正常排查即可4. 缺失任意分卷 → 无法解压七、考点6文件名/文件内容隐写1. 文件名藏密文压缩包内大量乱码文件名、特殊字符、十六进制、Base64、摩斯码- 把所有文件名拼接 → 二次解码Base64、Hex、URL、栅栏等2. 空文件 / 特殊大小文件- 大小为 0 的空文件重点关注文件名、创建时间- 多个相同大小文件比对差异、异或、取特征位3. 文件内容隐藏解压出 txt/二进制文件里面是- 明文 flag- 编码字符串Base64、Hex、ASCII- 二维码、点阵、盲文等图形密文八、考点7ZIP CRC32 碰撞进阶考点原理CRC32 是文件校验值不同内容可以拥有相同 CRC 值。题目一般给出压缩包内文件 CRC 值 长度利用 CRC 碰撞算出原始内容。常见题型1. 压缩包加密只知道内部文件 CRC32 和文件长度2. 用 CRC32 碰撞工具 跑对应字符串得到内容/密码常用工具 crc32collision 、在线 CRC 碰撞网站。九、考点87Z 压缩包特殊考点7Z 加密强度高于 ZIP基本无伪加密考点集中1. 全局注释、文件注释2. 密码爆破ARCHPR、7z 专用爆破工具3. 嵌套压缩、拼接文件4. 7Z 分卷压缩命令查看内容bash7z l test.7z十、CTF 压缩包隐写 标准做题流程按顺序走不踩坑拿到压缩包/疑似压缩包文件按以下步骤排查1. file 查真实类型 → 排除后缀伪装2. 查看压缩包注释unzip -z / 7z l3. 尝试直接解压 → 报错需要密码- 第一步判断是否 ZIP伪加密 → 修复后重试- 第二步确认为真加密 → 字典/暴力爆破密码4. 解压后查看内部- 多层嵌套 → 逐层解压、逐层检查- 异常文件名 → 提取文件名解码- 空文件/特殊文件 → 分析特征5. 若来源是图片/其他文件 → 用 binwalk 分离内嵌压缩包重复以上流程6. 最后进阶CRC32 碰撞、文件异或、时间戳隐写十一、常用工具汇总Windows KaliKali 命令工具- file 查文件类型- unzip / 7z 查看、解压- fcrackzip ZIP 密码爆破- rarcrack RAR 爆破- binwalk 分离拼接文件Windows 图形工具- 010Editor/WinHex十六进制改位、修复伪加密- WinRAR / 7-Zip常规解压、看注释- ARCHPRZIP/RAR 高强度密码爆破- ZipCenOp.jar一键修复 ZIP 伪加密在线工具- ZIP伪加密修复- CRC32 加密/解密/碰撞- 各类编码解码Base64、Hex 等