Bugku CTF：一个普通的压缩包[WriteUP]

使用 010editor 打开 flag.rar

观察rar文件头对的上，直接用WinRAR解压提示文件头损坏

查看十六进制代码

发现 flag.rar 文件中还存在一个 secret.png 的文件

flag.txt是可直接读的

定位到最后字母 'e' 上是解决这道题的重点

在RAR文件格式中，HEAD_TYPE的值是0x74则表明接下来的是文件块

而flag is not here中txt文件到字母e这里就结束了

RAR文件下一文件固定块是：A8 3C 7*

所以第三个字节HEAD_TYPE就应该是74(文件块)才对，而这里是7A(子块)

贴上常见的HEAD_TYPE

HEAD_TYPE=0x72 marker block                 标志块
HEAD_TYPE=0x73 archive header               归档头部块
HEAD_TYPE=0x74 file header                  文件块
HEAD_TYPE=0x75 old style comment header     老风格的注释块
HEAD_TYPE=0x76 old style authenticity information 
老风格的授权信息块/用户身份信息块
HEAD_TYPE=0x77 old style subblock           老风格的子块
HEAD_TYPE=0x78 old style recovery record    老风格的恢复记录块
HEAD_TYPE=0x79 old style authenticity information
老风格的授权信息块/用户身份信息块
HEAD_TYPE=0x7a subblock                     子块
HEAD_TYPE=0x7b end block                    结束块
//结束块是固定为C4 3D 7B 00 40 07 00

---

解压后flag.txt还是跟之前一样，啥都没有 把目光放在secret.png上就好

再次使用010editor打开它发现文件头是GIF，尝试直接把后缀改成.gif

使用GIFCAM工具打开secret.gif

放进画图软件里，把上面这两个残缺的定位符补上

flag{yanji4n_bu_we1shi}