下载下来直接就是一个带密码的压缩包
010查看发现可能是伪加密
补充知识:
一个zip文件由三部分组成:
压缩源文件数据区
压缩源文件目录区
压缩源文件目录结束标志。
先拿一个正常的压缩包为例,用 010 editor 打开。
在 010 editor 里可以比较好得区分 zip 文件的三部分。如下图中,
前面的灰色背景的十六进制数字为压缩源文件数据区,
中间紫色背景的十六进制数字为压缩源文件目录区,
后面黄色背景的十六进制数字为压缩源文件目录结束标志。
不同文件中每个部分的十六进制数据可能会有不同,但是根据每个部分的开头位置开始找,对应相同含义的数据会在相同的位置。
压缩源文件数据区
50 4B 03 04:头文件标记
00 00:全局方式位标记(通过此处判断有无加密),文件头标记后 2bites
压缩源文件目录区
50 4B 01 02:目录中文件文件头标记
00 00:全局方式位标记(有无加密,伪加密的关键) 目录文件文件头标记后 4bytes
压缩源文件数据区的全局方式位标记为 00 00 ;
且压缩源文件目录区的全局方式位标记为 09 00
所以这是伪加密,导致前面文件无法打开。
那么什么是伪加密呢?
懂了吧? 那么继续
winRAR修复
修复后成功解压,内容为一个加密的fun.zip和omisc.docx
word隐写
打开word发现如下内容
猜测文件内容为rabbit加密的密文
rabbit加密后字符串开头为U2FsdGVkX1
但是rabbit解密需要密文,在文档内寻找后发现为word隐写
希尔加密
得到的结果为希尔加密的密文和密钥,解密得
解密得到rabbit解密的密钥
rabbit解密得到一串base32编码字符
base32解密
Unicode转中文
新佛曰解密
得到的结果Live beautifully, dream passionately, love completely.为fun.zip压缩包的密码
解压得到fun.wav。打开播放听到十分刺耳的杂音。
Audacity转频谱得到flag
得到flag
