Bugku CTF 神秘的文件

本题主要考察 ZIP 明文攻击、Office 文档结构分析以及 Base64 解码。‌Flagflag{d0cX_1s_ziP_file}1. 初步分析与获取文件下载题目附件并解压通常会得到两个文件logo.png一张普通的图片。flag.zip一个加密的压缩包。尝试直接解压flag.zip会提示需要密码。2. ZIP 明文攻击 (Known Plaintext Attack)观察发现加密的flag.zip内部包含一个名为logo.png的文件而外部正好有一个未加密的logo.png。这符合 ‌ZIP 明文攻击‌ 的条件即已知加密压缩包中部分文件的明文内容。‌操作步骤‌‌制作明文压缩包‌使用 ‌WinRAR‌注意必须使用 WinRAR7-Zip 或其他工具压缩可能导致算法头不同从而攻击失败将外部的logo.png压缩成logo.zip。确保压缩格式为 ZIP且压缩方式与目标一致通常默认即可。‌验证 CRC32‌分别查看flag.zip内的logo.png和你生成的logo.zip内的logo.png的 CRC32 值。如果两者一致说明文件内容完全相同可以进行明文攻击。‌执行攻击‌使用工具 ‌ARCHPR‌ (Advanced Zip Password Recovery)。选择“明文攻击”模式。导入加密文件flag.zip。导入明文文件logo.zip。点击开始工具会自动计算出加密密钥并破解出密码或者直接使用恢复出的密钥解密。注部分版本题目可能通过暴力破解也能得到简单密码如q1w2e3r4但标准解法是明文攻击。3. 解压与分析 Office 文档使用破解出的密码解压flag.zip得到两个文件logo.png2018山东省大学生网络安全技能大赛决赛writeup.docx文件名可能略有不同但后缀为.docx或.doc打开这个 Word 文档表面上看可能是一些无关的内容或提示甚至可能是损坏无法直接打开。这时需要意识到 ‌Office Open XML 格式.docx, .xlsx, .pptx本质上就是 ZIP 压缩包‌。‌操作步骤‌‌修改后缀‌将.docx文件的后缀名改为.zip。‌解压文档‌解压这个 ZIP 包。‌寻找 Flag‌进入解压后的文件夹通常 Flag 不会直接在根目录。根据 Office 文档结构重点检查docProps文件夹。在docProps目录下找到flag.txt文件。4. Base64 解码打开flag.txt里面的内容是一串 Base64 编码字符串ZmxhZ3tkMGNYXzFzX3ppUF9maWxlfQ使用 Base64 解码工具进行解码flag{d0cX_1s_ziP_file}总结关键点‌明文攻击条件‌加密包内有文件且你有该文件的未加密原版。‌工具选择‌制作明文压缩包时务必使用 ‌WinRAR‌否则 ARCHPR 可能报错。‌Docx 本质‌.docx是 ZIP 格式改后缀解压是 CTF 中常见的套路。‌Flag 位置‌隐藏在docProps/flag.txt中而非文档正文。