跳转至

伪加密

关于

ZIP伪加密就是通过修改zip压缩包特定的字节,进而在打开文件时压缩包被识别为使用了密码加密,从而达到伪装加密效果,实际上并没有对压缩包进行密码加密。我们需要通过使用工具修改特定位置的字节来破解伪加密。

img

ZIP压缩文件中有三个关键数据段: 压缩源文件数据区,压缩源文件目录区,压缩文件源文件目录结束区

压缩源文件数据区

50 4B 03 04头文件标记0x04034b50
14 00解压文件所需 pkware 版本
00 00全局方式位标记有无加密头文件标记后2bytes
08 00压缩方式

压缩源文件目录区

50 4B 01 02目录中文件文件头标记(0x02014b50)
3F 00压缩使用的 pkware 版本
14 00解压文件所需 pkware 版本
00 00全局方式位标记有无加密伪加密判断点目录文件标记后4bytes

压缩文件源文件目录结束区

50 4B 05 06目录结束标记
00 00当前磁盘编号
00 00目录区开始磁盘编号
01 00本磁盘上纪录总数
01 00目录区中纪录总数
59 00 00 00目录区尺寸大小

无加密:    压缩源文件数据区全局加密为 00 00 , 压缩源文件目录区全局加密为 00 00
有加密:    压缩源文件数据区全局加密为 09 00 , 压缩源文件目录区全局加密为 09 00
伪加密:    压缩源文件数据区全局加密为 00 00 , 压缩源文件目录区全局加密为 09 00

BuuCTF - zip伪加密

打开需要密码,使用十六进制查看工具打开,发现全局加密标志为 09 00

img

修改为 00 00 后解压可打开获取内部文件

img