实验吧安全杂项-啦啦啦

今天做的题是一个安全杂项，看名字很有趣，就它吧，“啦啦啦”。
1、链接下载后是一个.pcapng文件，用NotePad++打开，发现里面的端倪。

2、于是将后缀名改成.zip，果然是一个压缩包，然后解压，但是解压时会发现所有的数据包都已损坏。

-----------手动分割，看来上面这条路行不通，我还是太弱了------------

2、嗯，，，原来。pcapng文件就是wireshark的文件，那就下载一个不。。。然后使用wireshark打开压缩包（等有空再补一下wireshark吧）。

3、点击统计->对话，在tcp中80端口发现很多数据包较大的，于是点开。

4、发现LOL.zip，于是导出as LOL.zip


5、还有一个299k的，里面藏了lol.docx，但是这个也要以zip的形式导出，不然word打不开，因为word本身就是一个压缩包。

6、开始解决LOL.zip
补充知识：zip文件的组成结构有三个部分，分别是“压缩源文件数据区”、“压缩源文件目录区”、“压缩源文件目录结束标志”
（1）压缩源文件数据区

长度 （byte）         组成
4               文件头标识，值固定(0x04034b50)
2               解压文件所需 pkware最低版本
2               通用比特标志位(置比特0位=加密)
2               压缩方式
2               文件最后修改时间
2               文件最后修改日期
4               CRC-32校验码
4               压缩后的大小
4               未压缩的大小
2               文件名长度
2               扩展区长度
不定               文件名
不定               扩展区
                  压缩数据

（2）压缩源文件目录区

长度 （byte）         组成
4               中央目录文件header标识（0x02014b50）
2               压缩所用的pkware版本
2               解压所需pkware的最低版本
2               全局方式位标记（有无加密）
2               压缩方法
2               文件最后修改时间
2               文件最后修改日期
4               CRC-32校验码
4               压缩后的大小
4               未压缩的大小
2               文件名长度
2               扩展域长度
2               文件注释长度
2               文件开始位置的磁盘编号
2               内部文件属性
4               外部文件属性
4               本地文件头的相对位移
不定               目录文件名
不定               扩展域
不定               文件注释内容

（3）压缩源文件目录结束标志

长度 （byte）         组成
4               目录结束标记,(固定值0x06054b50)
2               当前磁盘编号
2               中央目录开始位置的磁盘编号
2               该磁盘上所记录的核心目录数量
2               中央目录结构总数
4               中央目录的大小
4               中央目录开始位置相对于文件头的偏移
2               注释长度
不定               注释内容

所以我们要做的就是将全局方式位加密更改为伪加密。
进行搜索标志位504B0102

找到后，将后面四个字节处的标志位改成0208（偶数为非加密，奇数为加密，当压缩源文件数据区和压缩源文件目录区均为奇数时为真加密，当压缩源文件数据区为偶数，目录区为奇数为伪加密，均为偶数为无加密），伪密码破解，解压成功。

7、解压后四个文档，打开，看文件头，匹配以下：

JPEG (jpg)，文件头：FFD8FFE1 
PNG (png)，文件头：89504E47 
GIF (gif)，文件头：47494638 
TIFF (tif)，文件头：49492A00 
Windows Bitmap (bmp)，文件头：424D 
CAD (dwg)，文件头：41433130 
Adobe Photoshop (psd)，文件头：38425053 
Rich Text Format (rtf)，文件头：7B5C727466 
XML (xml)，文件头：3C3F786D6C 
HTML (html)，文件头：68746D6C3E 
Email [thorough only] (eml)，文件头：44656C69766572792D646174653A 
Outlook Express (dbx)，文件头：CFAD12FEC5FD746F 
Outlook (pst)，文件头：2142444E 
MS Word/Excel (xls.or.doc)，文件头：D0CF11E0 
MS Access (mdb)，文件头：5374616E64617264204A 
WordPerfect (wpd)，文件头：FF575043 
Postscript (eps.or.ps)，文件头：252150532D41646F6265 
Adobe Acrobat (pdf)，文件头：255044462D312E 
Quicken (qdf)，文件头：AC9EBD8F 
Windows Password (pwl)，文件头：E3828596 
ZIP Archive (zip)，文件头：504B0304 
RAR Archive (rar)，文件头：52617221 
Wave (wav)，文件头：57415645 
AVI (avi)，文件头：41564920 
Real Audio (ram)，文件头：2E7261FD 
Real Media (rm)，文件头：2E524D46 
MPEG (mpg)，文件头：000001BA 
MPEG (mpg)，文件头：000001B3 
Quicktime (mov)，文件头：6D6F6F76 
Windows Media (asf)，文件头：3026B2758E66CF11 
MIDI (mid)，文件头：4D546864 

用UltraEdit打开发现为png文件，UltraEdit太难用了，最后还是下载了winhex。复制后选择ANSII HEX粘贴。

8、依次处理四个文档，最后转为png格式，使用画图拼接，通过粘贴来源复制图。

图片.png

裁剪真的累。。

9、扫描可得flag

小结：真的没想到安全杂项这么麻烦，学到了wireshark，了解了zip伪加密，下载了winhex，吐槽UltraEdit，还有画图裁剪拼接。。。终于做完了，啦啦啦！