实验吧昨天放了三个新题，随便选了个misc的做了一下。虽然有些坑，但还是比较不错的一道题。

题面：

隐藏在数据包中的秘密
解题链接： http://ctf5.shiyanbar.com/misc/LOL/LOL.pcapng

题解：

数据包，基本上都是可以导出些什么东西，然后进行接下来的求解。这道题也不例外。

导出http的文件，有两个upload.php比较可疑，进入其中可以观察到，一个是上传了lol.zip一个是lol.docx。

前者是正确方向，后者是错误的。

打开lol.zip文件，发现是加密的。正常思维首先会以为密码在另一个文件里面，对，没错，我就是这么掉进坑的。

word文档其本质就是一个压缩包。所以可以把docx文件以压缩包形式打开，最终在document.xml里可以找到一副图片和一句话，大意就是这里风景很美好，但不是想要的。现在看来，这就是说这个方向是错误的，当时没有想到，还做了很久的图片隐写。。。。

zip文件用winhex看一下，会发现头上的加密位是未加密的状态，那么肯定就是在文件目录区所修改的伪加密了。

果不其然，在文件目录区修改伪加密位即可解压文件。

发现是4个16进制文本，扔到解密站看看，看到了png文件头，那大致就明白了，winhex做成png文件即可。

会发现是4个二位码的四个部分，ps拼接之，扫码，得flag。

主要是想看看我老婆

另：
附上伪加密知识点：

一个 ZIP 文件由三个部分组成：

压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志

• 压缩源文件数据区：
  50 4B 03 04：这是头文件标记（0x04034b50）
  14 00：解压文件所需 pkware 版本
  00 00：全局方式位标记（有无加密）
  08 00：压缩方式
  5A 7E：最后修改文件时间
  F7 46：最后修改文件日期
  16 B5 80 14：CRC-32校验（1480B516）
  19 00 00 00：压缩后尺寸（25）
  17 00 00 00：未压缩尺寸（23）
  07 00：文件名长度
  00 00：扩展记录长度

• 压缩源文件目录区：
  50 4B 01 02：目录中文件文件头标记(0x02014b50)
  3F 00：压缩使用的 pkware 版本
  14 00：解压文件所需 pkware 版本
  00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）
  08 00：压缩方式
  5A 7E：最后修改文件时间
  F7 46：最后修改文件日期
  16 B5 80 14：CRC-32校验（1480B516）
  19 00 00 00：压缩后尺寸（25）
  17 00 00 00：未压缩尺寸（23）
  07 00：文件名长度
  24 00：扩展字段长度
  00 00：文件注释长度
  00 00：磁盘开始号
  00 00：内部文件属性
  20 00 00 00：外部文件属性
  00 00 00 00：局部头部偏移量

• 压缩源文件目录结束标志：
  50 4B 05 06：目录结束标记
  00 00：当前磁盘编号
  00 00：目录区开始磁盘编号
  01 00：本磁盘上纪录总数
  01 00：目录区中纪录总数
  59 00 00 00：目录区尺寸大小
  3E 00 00 00：目录区对第一张磁盘的偏移量
  00 00：ZIP 文件注释长度

加密标记位尾部奇数则加密，偶数则不加密。