CTF|Misc-Crymisc / 开普饭

前言

最近在学习CTF中MISC类题目的解题技巧，并复盘了今年8月底GACTF比赛中的题目—crymisc，这道题里面包含了MISC题目中经常遇到的考点(文件头类型判断、压缩包文件伪加密、图片藏文件、编码解码)。

题目链接

链接：

https://pan.baidu.com/s/1EZzhnAa5Q4OD8y-YEAcjzQ

提取码：866h

解题思路

1. 首先下载根据提供的链接下载题目文件，由图1.1可知题目给出的文件为word文档。

图1.1

2. 尝试通过word打开题目文件，结果如图1.2文件无法正常打开。此时我们猜想文件可能不是Word文档格式，出题人可能更改了文件后缀。

图1.2

3. 将题目给出的word文件放入winhex工具中如图1.3，通过分析文件头为“504B0304”，判断文件格式为zip压缩包。

图1.3

4. 更改文件后缀为zip，再通过压缩软件打开压缩包，如图1.4。此时我们发现压缩包中1.txt文件没有加密，打开1.txt文件阅读提示信息，发现内容与本题无关。结合得到的信息：3.jpg文件被加密但是题目并没有给出有用的提示信息。我们可以得出结论：要么是弱密码，要么是伪加密。

图1.4

图1.5

5. 将zip文件再一次放入软件winhex中，分析文件加密位。首先通过搜索加密位16进制特征码“504B0102”找到加密位，如果加密位不为“00”需要将加密位改为“00”，并保存。此时我们发现原来的加密文件，不需要密码了。

图1.6

图1.7

图1.8

6. 将图片解压出来，并打开。图片中并没有什么有用的信息，此时我们仍需要借助winhex软件分析图片，观察文件头并没有异常的地方，那么我们之后需要分析文件尾。jpg格式图片文件尾特征码“FFD9”，通过分析图2.2发现，文件尾并不在末尾。那么在jpg文件尾特征码之后的内容可能是另一个文件。

图1.9

图2.1

图2.2

7. 继续分析上一步内容，通过上网查找“常见文件头”始终没有发现与本题相关的内容。此时我们通过观察图2.2右侧字符串中发现有一段内容为常见的字符串，并且在字符串下方有“crymisc.txt”字样的内容，再者在字符串16进制编码结束后的16进制头中“03041400”很像是常见文件头中的zip格式。