（i春秋 Misc）ReCreators

【i春秋 Misc】

ReCreators

下载得到一个文件。老规矩，放入010文本编辑器中查看：

文件头是： KDMV 不清楚。往下查看：

发现了 misc.vmdk 可通过 file 命令直接查看，得到如下：

root@DESKTOP-VUB6KKI:/mnt/c/Users/11145/Desktop# file ReCREATORS

ReCREATORS: VMware4 disk image

文件格式：.vmdk

文件类型：Virtual Machine Disk File

即与虚拟机中虚拟磁盘文件有关。

可知： ReCREATORS 是虚拟机映像文件。修改后缀名为： ReCREATORS.vmdk

磁盘文件，立刻想到一个叫 DiskGenius 的软件。

通过打开磁盘文件将 ReCREATORS.vmdk 加载进来。然后依次进入，发现一个MP4

将该mp4导出，打开一听是一首动漫主题曲。用 010打开查看，在最后一段发现异常数据。

全是一串数据。导出，怀疑是 ASCII转换，保存为 1.hex

参考大佬脚本题解

（ps：该脚本可适用得到一堆ASCII文本，通过base16（十六进制转换）/32/64层层解密得出flag 的情况）

import binascii

import base64

def get_continuous_asciis(ranges: list):

    """

    取连续的ASCII文本

    :param ranges: 范围数组, 例[['A', 'B']]

    :return:

    """

    return ''.join([''.join(map(chr, range(ord(r[0]), ord(r[1]) + 1))) for r in ranges])

with open('E:\\1.hex') as f:

    enc = f.read()

while True:

    b16 = b32 = b64 = False

    if all([i.upper() in '0123456789ABCDEF' for i in enc]):

        b16 = True

    elif all([i.upper() in 'ABCDEFGHIJKLMNOPQRSTUVWXYZ2345678=' for i in enc]):

        b32 = True

    elif all([i.upper() in get_continuous_asciis([['a', 'z'], ['A', 'Z'], ['0', '9']]) + '+/=' for i in enc]):

        b64 = True

    else:

        # print('End')

        break

    if b16:

        # print('Base16')

        enc = binascii.a2b_hex(enc).decode('utf-8')

    elif b32:

        # print('Base32')

        enc = base64.b32decode(enc).decode('utf-8')

    elif b64:

        # print('Base64')

        enc = base64.b64decode(enc).decode('utf-8')

    # print('-' * 30)

    print(enc)

    print('-' * 30)

得到flag：

------------------------------

flag{wh4t_a_w0nderfu1_d4y}

------------------------------

CryMisc

下载得到一个压缩包，解压得到一个 jiami.py 加密脚本和一个被加密的压缩包 gogogo.zip

jiami.py 如下：

# -*- coding:utf8 -*-

import pyminizip

from hashlib import md5

import os

def create(files, zfile):

    password = os.urandom(15)

    password = md5(password).hexdigest()

    pyminizip.compress_multiple(files, zfile, password, 0)

    pass

if __name__ == '__main__':

    files = ['jiami.py','gogogo.zip']

    zfile = 'crypto.zip'

    create(files, zfile)

通过这个加密脚本，很清楚的看到，是将 jiami.py 和 gogogo.zip 一起加密成 crypto.zip 。

并且注意到这是通过 15位md5加密而成，爆破难度顶天。

由于已知一个和被加密压缩包一样加密算法的文件，便可马上想到明文攻击

1、将 jiami.py 用winrar 压缩成一个压缩包 -> jiami,zip 当作明文

（可能是压缩算法原因，对于明文攻击，目前来看，必须采用winrar方可成功）

2、打开ARCHPR 爆破压缩包神器。将加密zip gogogo.zip 导入，选择明文攻击类型

3、进行明文攻击。

注：对于ARCHPR4.0版本，它会自动跳出，只需等待就可。

而ARCHPR4.54版本，攻击一段时间，直接按下停止即可，如下图：

它会自动跳出另存为解密压缩包

解压解密成功的压缩包，得到三个文件： AES.encryt 、 AESencrypt.py 、 RSA.encrypt

打开 AESencrypt.py

# -*- coding:utf8 -*-

from Crypto.Cipher import AES

s=open('next.zip','rb').read()

BS=16

pad_len=BS-len(s)%BS

padding=chr(pad_len)*pad_len

s+=padding

key='我后来忘了'

n=0x48D6B5DAB6617F21B39AB2F7B14969A7337247CABB417B900AE1D986DB47D971

e=0x10001

m=long(key.encode('hex'),16)

c=pow(m,e,n)

c='0{:x}'.format(c).decode('hex')

with open('RSA.encrypt','wb') as f:

    f.write(c)

obj=AES.new(key,AES.MODE_ECB)

with open('AES.encryt','wb') as f:

    f.write(obj.encrypt(s))

这里给了我们很多信息：

1、有一个 next.zip 的存在

2、key 是经过 RSA加密

3、一开始是AES加密。

解密RSA得到key

已知 n，利用 yafu 分解 n得到p q 或者在线网站分解
n = 32945885482421841602167475970472000545315534895409154025267147105384142461297
得到：

p = 177334994338425644535647498913444186659

q = 185783328357334813222812664416930395483

编写脚本：

#coding:utf-8

import gmpy2

import binascii

from Crypto.Util.number import long_to_bytes

p = 177334994338425644535647498913444186659

q = 185783328357334813222812664416930395483

n = 32945885482421841602167475970472000545315534895409154025267147105384142461297

e = 0x10001

d = int(gmpy2.invert(e,(p-1)*(q-1)))

mingwen = open("E:\\RSA.encrypt","rb").read()

hexstr = binascii.b2a_hex(mingwen).decode("utf-8")

c = int(hexstr,16)

m = pow(c, d, n)  # m 的十进制形式

string = long_to_bytes(m)  # m明文

print(string)  # 结果为 b‘ m ’ 的形式

跑出结果如下：

得到 key： copy__white__key

得到key解密生成next.zip

利用已知 AESencrypt.py 编写解密脚本获得 next.zip python2脚本如下

from Crypto.Cipher import AES

s=open('AES.encryt','rb').read()

BS=16

pad_len=BS-len(s)%BS

padding=chr(pad_len)*pad_len

s+=padding

key='copy__white__key'

obj=AES.new(key,AES.MODE_ECB)

with open('next.zip','wb') as f:

f.write(obj.decrypt(s))

运行得到 next.zip 查看encrypt.py :
# -*- coding:utf8 -*-

from base64 import *

s=open('flag.jpg','rb').read()

s='-'.join(map(b16encode,list(s)))

s=map(''.join,zip(*(s.split('-'))))

with open('first','wb') as f:

f.write(b16decode(s[0]))

with open('second','wb') as f:

f.write(b16decode(s[1]))
加密脚本传递的信息为：

将一张flag.jpg 分成一半。first和second，并且对其两部分均使用base16 decode一次。

编写脚本得flag.jpg

于是可以编写解密脚本（python2）：

# -*- coding:utf8 -*-

from base64 import *

s = [0,1]

with open('first','rb') as f:

s[0] = b16encode(f.read())

with open('second','rb') as f:

s[1] = b16encode(f.read())

s=map(''.join,zip(*s))

s=b16decode(''.join(s))

with open('flag.jpg','wb') as f:

	f.write(s)

得到flag.jpg

用010打开查看，利用插件，注意到最后有大段数据段异常填充，

点击查看发现 8BPS psd文件头！于是截下另存为 psd。

用ps打开。疑似flag的假的flag出现。于是将背景图层导出png查看。

为什么要导出背景图层？

1、该图就三个图层：

一个是文字图层（迷惑行为），还有一个是图片表情包。背景图层（锁定）flag藏在这里最有可能。

2、之前得到的key： copy__white__key 暗示导出png格式

用 stegsolve查看：

扫描二维码得flag

flag为：

flag{409d7b1e-3932-11e7-b58c-6807154a58cf}

【侵权删】

【转载请放链接】 https://www.cnblogs.com/Jlay/p/CryMisc.html