文章讲述了如何使用010Editor和特定工具UsbKeyboardDataHacker对USB设备中的压缩包进行分析,包括Ctrl+F搜索、RAR和ZIP文件格式解密,最终提取出隐藏的二维码并解码获得flag。
20.[BUUCTF]USB
使用010editor打开key.ftm
为什么用010打开我也不知道原因,所以一开始就被卡住了:)
Ctrl+F搜索PK直接找压缩包,发现有压缩包!
保存选中的成为压缩包
保存zip
要找的流量包在压缩包里面,解压缩就行。
看了其他大哥的,发现需要用个脚本-UsbKeyboardDataHacker
网址:
GitHub - WangYihang/UsbKeyboardDataHacker: USB键盘流量包取证工具 , 用于恢复用户的击键信息
找到这个之后去搞那个233.rar压缩包!
【补充】:以下内容摘自以下网址:https://www.freebuf.com/column/199854.html
压缩包基础分析及伪加密分析的解题思路。
基础知识
有些出题者通过压缩包本身的一些基础信息来出一些简单的题目或是作为复杂杂项题的辅助,接下来先介绍介绍RAR和ZIP的文件格式。
1.RAR
RAR是有四个文件块组成的,分别是分别是标记块、归档头部块、文件块、结束块,这些块之间没有固定的先后顺序,但要求第一个块必须是标志块并且其后紧跟一个归档头部块。每个块都包含以下内容:
归档头部块和文件块的内容较多,仅列出每个块头部内容:
RAR的标记块和结束块都是固定的7字节序列,分别为0x52 61 72 21 1A 07 00和0xC4 3D 7B 00 40 07 00。文件块这边要注意一下HEAD_FLAGS这个头部,其中HEAD_FLAGS的低三位代表加密标志,此位若被置为1,则文件使用了基于密钥的加密。
2. ZIP
通常的ZIP文件格式如下:
压缩源文件数据区[文件头+文件数据+数据描述符]{此处可重复多次}+核心目录+目录结束标识
当压缩包中有多个文件时,就会有多个[文件头+文件数据+数据描述符]。
压缩源文件数据区记录着压缩的所有文件的内容信息,每个压缩文件都由文件头、文件数据、数据描述符三部分组成,在这个数据区中每一个压缩的源文件/目录都是一条记录。ZIP的文件头标识固定为0x50 4B 03 04,文件数据记录了相应压缩文件的数据,数据描述符仅在文件头中通用标记字段的第3bit设为1时才会出现。
核心目录区记录了压缩文件的目录信息,在这个数据区中每一条纪录对应在压缩源文件数据区中的一条数据。核心目录区的标记为0x 50 4B 01 02。其中若通用位标记(General purpose bit flag)置为1,则表示该文件加密。如有多个文件就会有多个通用位标记。
目录结束标识存在于整个归档包的结尾,用于标记压缩的目录数据的结束。核心目录结束标记0x50 4B 05 06 。
将上面的7A改为74!!!!
即可解压!
解压出来的文件是这样的:
然后使用StegSlove查看!
下载链接如下:
点右下角,差不多33下之后找到一张二维码!
二维码如下图:
使用QR research查看这个二维码!
ci{v3erf_0tygidv2_fc0}
然后上面是密文,刚刚提取出来的xinan是密钥:
https://www.qqxiuzi.cn/bianma/weijiniyamima.php
然后再用栅栏密码解密:
https://www.qqxiuzi.cn/bianma/zhalanmima.php
flag{vig3ne2e_is_c00l}
扫一扫
430
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
