CTF初探：揭秘ZIP伪加密之谜

了解 ZIP 伪加密：浅析 CTF 中的常见手段

引言

CTF (Capture the Flag) 竞赛中，ZIP 伪加密技术是常见的密码学攻击手法。这篇文章将以两道 CTF 题目为例，浅析 ZIP 伪加密的原理和应对方法，供各位 CTFer 和感兴趣的小伙伴参考。

什么是 ZIP 伪加密？

ZIP 伪加密是一种常见的密码学攻击手法，攻击者通过对 ZIP 压缩包进行修改，使其看起来已加密，但实际上仍处于未加密状态。

CTF 中的 ZIP 伪加密

在 CTF 竞赛中，ZIP 伪加密常用于以下场景：

• 误导参赛者，使其以为压缩包已加密，从而放弃进一步探查。
• 隐藏重要信息，迫使参赛者找出伪加密的突破口。

案例分析

题目 1：

文件名为 secret.zip，压缩后文件大小为 1KB。压缩包中包含一个名为 flag.txt 的文本文件，内容为 ctf{**** *}。

分析：

压缩包大小为 1KB，而 flag.txt 文件内容仅有 9 个字符，因此很可能存在填充字节。使用 strings 工具查看压缩包内容，发现其中包含大量空字符 (0x00)。

破解：

使用 zipalign -z secret.zip 命令去除伪加密，得到原始压缩包。解压后，即可获得 flag.txt 文件中的 flag。

题目 2：

文件名为 encrypted.zip，压缩后文件大小为 500KB。压缩包中包含一个名为 key.txt 的文本文件，内容为 hunter2。

分析：

尝试使用 key.txt 中的密码解压压缩包，提示密码错误。查看压缩包头信息，发现 data_descriptor 字段为 1。

破解：

data_descriptor 字段为 1 表示压缩包末尾包含额外的文件符。使用 zipinfo -vv encrypted.zip 命令查看文件符，发现其中包含了正确的密码。使用此密码解压压缩包，即可获得 flag。

防御措施

针对 ZIP 伪加密，我们可以采取以下防御措施：

• 检查压缩包大小： 伪加密后的压缩包大小通常会大于原始压缩包。
• 分析压缩包内容： 使用 strings 等工具查看压缩包内容，是否有异常字节。
• 查看压缩包头信息： 使用 zipinfo -v 等命令查看压缩包头信息，检查是否有伪加密的特征（如 data_descriptor 字段为 1）。
• 使用强密码： 避免使用常见密码或字典攻击，提高密码强度。

结语

ZIP 伪加密是 CTF 竞赛中常见的攻击手段。通过了解 ZIP 伪加密的原理和破解方法，我们可以提高 CTF 竞赛中的解题能力。欢迎各位 CTFer 和感兴趣的小伙伴留言交流，共同探讨 CTF 竞赛中的密码学攻击。