【攻防世界】-running

⭕、知识点

自解压压缩文件/二进制文件隐写/TIF文件及图层隐写/脚本编辑

一、题目

给了一个word图标的run.exe

二、解题

1、可用binwalk扫描发现有压缩包再foremost分离

2、也可以将其后缀改为.zip用winrar打开

这里面可看到这个压缩包存在自解压命令，这也解释了为什么之前运行它会跳出word视图

# 解释脚本

Setup="New Microsoft Word Document.docx"  #解压后运行New Microsoft Word Document.docx
TempMode  #确保只有全部文件解压完成后，才进行移动操作。若中途失败，目标路径不会被污染。
Silent=1  #静默模式
Overwrite=1  #解压并覆写

3、运行解压后的run.exe发现文件夹里多出一个tif

4、将其后缀补全:tif.tif发现可打开

发现人的下方还有一个黑色区域，应该是藏了什么

5、用ps打开这个图片并查看图层，果然有一段隐藏代码

6、用16进制查看器打开tif，在末尾发现一段run 字段，这应该是需要脚本运行的初始数据

7、编写脚本得到flag

raw_flag = "njCp1HJBPLVTxcMhUHDPwE7mPW"

flag = ""
for i in range(len(raw_flag)):
    if i % 2 == 0:
        flag += chr(ord(raw_flag[i]) - 1)
    else:
        flag += chr(ord(raw_flag[i]) + 1)
print(flag)

三、答案

flag{mkBq0IICOMUUwdLiTICQvF6nOX}

四、总结

这道题比较奇特的地方在于存在自解压脚本命令,为此还去专门了解了以下

1、了解SFX

缩写：SFX（Self-Extracting Archive）

但是在CTF里通常在其中添加在荷载、木马等，这也是一种攻击手段，需要选手具有一定的分析能力。

2、如何创建自解压脚本？

WinRAR提供了易于操作的图形化界面

在这里进行多种选择