前言

在互联网的浪潮中，大家也许碰到过这种情况：

从网络上下载了一个zip文件，最后却发现它是用密码保护的，或者自己用密码加密了一个很重要zip文件，但是一段时间后忘记了密码，无法打开。这个时候，我们就可能就需要对这个加密文件进行破解了。

而随着计算机性能的提高，很多人可能觉得找到一个zip文件的密码是一件很简单的事情。

我将从一个Web安全狗&CTF选手的角度去解析如何去找到/破解一个Zip文件~

01.Zip属性隐藏

我们先从最简单的开始讲起，可能很多人没有去注意文件属性一栏，往往有时候，加密者会把密码放在属性里面，例如下图：

我们可以看到，这个Zip压缩文件的密码就是www.cnblogs.com了~

02.Zip伪加密

Zip伪加密是在文件头的加密标志位做修改，进而再打开文件时识被别为加密压缩包~

一个 Zip文件由三个部分组成：

压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志 

下面我们来看下这个例子：

压缩源文件数据区：

50 4B 03 04：这是头文件标记（0x04034b50）

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密）

08 00：压缩方式

5A 7E：最后修改文件时间

F7 46：最后修改文件日期

16 B5 80 14：CRC-32校验（1480B516）

19 00 00 00：压缩后尺寸（25）

17 00 00 00：未压缩尺寸（23）

07 00：文件名长度

00 00：扩展记录长度

6B65792E7478740BCECC750E71ABCE48CDC9C95728CECC2DC849AD284DAD0500

压缩源文件目录区：

50 4B 01 02：目录中文件文件头标记(0x02014b50)

3F 00：压缩使用的 pkware 版本

14 00：解压文件所需 pkware 版本

00 00：全局方式位标记（有无加密，这个更改这里进行伪加密，改为09 00打开就会提示有密码了）

08 00：压缩方式

5A 7E：最后修改文件时间

F7 46：最后修改文件日期

16 B5 80 14：CRC-32校验（1480B516）

19 00 00 00：压缩后尺寸（25）

17 00 00 00：未压缩尺寸（23）

07 00：文件名长度

24 00：扩展字段长度

00 00：文件注释长度

00 00：磁盘开始号

00 00：内部文件属性

20 00 00 00：外部文件属性

00 00 00 00：局部头部偏移量

6B65792E7478740A00200000000000010018006558F04A1CC5D001BDEBDD3B1CC5D001BDEBDD3B1CC5D001 

压缩源文件目录结束标志：

50 4B 05 06：目录结束标记

00 00：当前磁盘编号

00 00：目录区开始磁盘编号

01 00：本磁盘上纪录总数

01 00：目录区中纪录总数

59 00 00 00：目录区尺寸大小

3E 00 00 00：目录区对第一张磁盘的偏移量

00 00：ZIP 文件注释长度

我们可以进行大胆的猜想：

如果把一个zip文件的文件头或者加密标志位进行适当修改，那就可能会改变文件的可读性~

我们可以用16进制编辑器添加文件头或文件尾，即可修复zip。

上面这种方法相对比较麻烦，不太容易操作，在Mac OS及部分Linux（如Kali）系统中，可以直接打开伪加密的zip压缩包，此时我们希望有种简便而通用的方法该怎么办呢？

我们推荐使用下面这种方法：

使用检测伪加密的ZipCenOp.jar，解密后如果能成功打开zip包，则是伪加密，否则说明思路错误

ZipCenOp.jar的下载我已经传到了本地，点击下载即可~

下面举个例子，如下是个被加密的文件，理由很简单，文件夹后面跟了一个*~

使用ZipCenOp.jar(需java环境)使用方法:

java -jar ZipCenOp.jar r xxx.zip

我们对其使用如上命令进行解包，得下图所示：

我们再看下这个文件：

发现文件夹后面跟的*消失了，说明这个文件就是伪加密文件~

当然啦，我们也可以对Zip文件进行伪加密~

java -jar ZipCenOp.jar e xxx.zip

03.暴力破解

顾名思义，就是逐个尝试选定集合中可以组成的所有密码，知道遇到正确密码~

而字典攻击的效率比爆破稍高，因为字典中存储了常用的密码，因此就避免了爆破时把时间浪费在脸滚键盘类的密码上~

而如果已知密码的某几位，如已知6位密码的第3位是a，那么可以构造 ??a??? 进行掩码攻击，掩码攻击的原理相当于构造了第3位为a的字典，因此掩码攻击的效率也比爆破高出不少~

对这一类的zip问题，Windows下我使用的是ARCHPR~

点击开始，进行爆破即可~下面是个演示，就花了4s的时间爆破出密码是MIT~

而所谓的字典攻击其实就是在字典选择合适的情况下，用很短的时间就能找到密码~如果需要字典的朋友可以私聊滴滴我，我可以发给你~

实例如下所示：

如果对Wifi密码破解感兴趣的同学可以关注我的B站ID：Angel_Kitty，我录制过关于Wifi破解的视频，视频ID是：https://www.bilibili.com/video/av25852173/

而掩码攻击就是通过已知密码的某几位进行构造，如下示例我们构造了??T进行爆破，仅花了81ms就破解了~

04.明文攻击

明文攻击是一种较为高效的攻击手段，大致原理是当你不知道一个zip的密码，但是你有zip中的一个已知文件（文件大小要大于12Byte）或者已经通过其他手段知道zip加密文件中的某些内容时，因为同一个zip压缩包里的所有文件都是使用同一个加密密钥来加密的，所以可以用已知文件来找加密密钥，利用密钥来解锁其他加密文件~

此时我们可以尝试用ARCHPR或者pkcrack进行明文攻击~

更新明文攻击这部分文档：https://www.cnblogs.com/ECJTUACM-873284962/p/9884416.html

举个例子，下载链接在这里

我们可以看到readme.txt是加密压缩包里的readme.txt的明文，所以可以进行明文攻击~

将readme.txt压缩成.zip文件，然后在软件中填入相应的路径即可开始进行明文攻击，这里我们用ARCHPR进行演示~

可能有些朋友会说ARCHPR怎么行不通啊，一般是版本不对的问题~

如果还是有问题怎么办呢？那就尝试用下pkcrack

下载链接在这里：https://www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack.html

似乎网站日常会崩，所以我把文件上传到了本地~

Windows版本：https://files.cnblogs.com/files/ECJTUACM-873284962/pkcrack-1.2.2-win32.zip

Linux版本：https://files.cnblogs.com/files/ECJTUACM-873284962/pkcrack-1.2.2.tar.gz

有些朋友在Windows下会出现如下错误：

那是因为pkcrack只支持32位的，所以运行这个需要在XP系统下进行

而选择Linux的话则不需要这么麻烦，直接安装就好了，还有一种更快的办法~

我已经把项目上传到Github上，文件在这里：https://github.com/AngelKitty/CTF-Tools/tree/master/pkcrack

我们写个shell脚本就好了~

#!/bin/bash -ex

wget https://www.unix-ag.uni-kl.de/~conrad/krypto/pkcrack/pkcrack-1.2.2.tar.gz

tar xzf pkcrack-1.2.2.tar.gz

cd pkcrack-1.2.2/src

make

mkdir -p ../../bin

cp extract findkey makekey pkcrack zipdecrypt ../../bin

cd ../../

把文件保存，改为install.sh，然后跑到当前目录下，给它加一个执行权限x

chmod 777 install.sh

或者直接可以：

chmod u+x install.sh

然后运行install.sh

./install.sh

然后当前目录下会生成一个bin的文件夹，我们直接进入bin文件夹下，看到有pkcrack文件，直接对文件进行明文破解

./pkcrack -c "answer/key.txt" -p readme.txt -C Desktop.zip -P readme.zip

-C:要破解的目标文件(含路径)

-c:破解文件中的明文文件的名字(其路径不包括系统路径,从zip文件一层开始)

-P:压缩后的明文文件

-p:压缩的明文文件中明文文件的名字(也就是readme.txt在readme.zip中的位置)

至于其他选项参看./pkcrack --help

pkcrack还有一个重要的选项是-d，后面跟一个文件名，比如decrypt.zip，表示解密后的zip文件输出。据说这个命令可以加快解密时间，我尝试过以后发现并没有快多少，所以我花了两个小时还没跑出来密码QAQ

05.CRC32碰撞

CRC32:CRC本身是“冗余校验码”的意思，CRC32则表示会产生一个32bit（8位十六进制数）的校验值。

在产生CRC32时，源数据块的每一位都参与了运算，因此即使数据块中只有一位发生改变也会得到不同的CRC32值，利用这个原理我们可以直接爆破出加密文件的内容~

具体算法实现参考百度百科：https://baike.baidu.com/item/CRC32/7460858?fr=aladdin

我们看个CRC32碰撞的例子：

flag是4位数，且CRC32值为56EA988D

我们可以写出如下脚本：

#coding=utf=8

import binascii

real = 0x56EA988D

for y in range(1000,9999):

    if real == (binascii.crc32(str(y)) & 0xffffffff):

        print(y)

print('End')

在 Python 2.x 的版本中，binascii.crc32 所计算出來的 CRC 值域为[-2^31, 2^31-1] 之间的有符号整数，为了要与一般CRC 结果作比对，需要将其转为无符号整数，所以加上& 0xffffffff来进行转换。如果是 Python 3.x 的版本，其计算结果为 [0, 2^32-1] 间的无符号整数，因此不需额外加上& 0xffffffff 。

脚本的运行结果如下，即为压缩文件的内容：

拓展与补充

• zip在线爆破：https://passwordrecovery.io/zip-file-password-removal/
• 使用fcrackzip破解zip保护密码：http://topspeedsnail.com/fcrackzip-crack-zip-password/

破解Zip加密文件常用的几种方法的更多相关文章

1. 破解ZIP加密文件密码fcrackzip

   破解ZIP加密文件密码fcrackzip ZIP是最常见的文件压缩方式.由于其压缩算法开源,主流操作系统都支持这种压缩算法.ZIP压缩方式支持密码加密.加密的时候会在文件头部保存密钥相关信息.利用这个 ...

2. 使用.Htaccess文件实现301重定向常用的七种方法

   使用.Htaccess文件实现301重定向常用的七种方法   301重定向对广大站长来说并不陌生,从网站建设到目录优化,避免不了对网站目录进行更改,在这种情况下用户的收藏夹里面和搜索引擎里面可能保存的 ...

3. Linux下查看压缩文件内容的 10 种方法

   Linux下查看压缩文件内容的 10 种方法 通常来说,我们查看归档或压缩文件的内容,需要先进行解压缩,然后再查看,比较麻烦.今天给大家介绍 10 不同方法,能够让你轻松地在未解压缩的情况下查看归档或 ...

4. linux中快速清空文件内容的几种方法

   这篇文章主要介绍了linux中快速清空文件内容的几种方法,需要的朋友可以参考下 $ : > filename $ > filename $ echo "" > f ...

5. java 获取键盘输入常用的两种方法

   java 获取键盘输入常用的两种方法 方法1: 通过 Scanner Scanner input = new Scanner(System.in); String s = input.nextLine ...

6. Linux清除文件内容的几种方法

   # 清空或删除大文件内容的五种方法: # 法一:通过重定向到 Null 来清空文件内容 $ >test.sh # 法二:使用 ‘true' 命令重定向来清空文件 $ true > test ...

7. linux清空文件内容的三种方法

   linux系统中清空文件内容的三种方法 1.使用vi/vim命令打开文件后,输入"%d"清空,后保存即可.但当文件内容较大时,处理较慢,命令如下:vim file_name:%d: ...

8. php获取文件后缀的9种方法

   获取文件后缀的9种方法 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 3 ...

9. 浅谈MySQL中优化sql语句查询常用的30种方法 - 转载

   浅谈MySQL中优化sql语句查询常用的30种方法 1.对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引. 2.应尽量避免在 where 子句中使 ...

随机推荐

1. html

   有目标的学知识才行 要学习html语言,我突然发现我好像可以在markdown文本编辑器中编辑html标签,既然这样我就多玩玩.markdown完全兼容html,这真的是一个好事情.好像也有功能在ma ...

2. iOS开发之多图片无缝滚动组件封装与使用

   经常有园友会问"博主,有没有图片无限滚动的Demo呀?", 正儿八经的图片滚动的Demo我这儿还真没有,今天呢就封装一个可以在项目中直接使用的图片轮播.没看过其他iOS图片无限轮播 ...

3. python_面向对象编程

   一.编程范式 程序员通过特定的语法+数据结构+算法告诉计算机如果执行任务,实现这个过程有不同的编程方式,对这些不同的编程方式进行归纳总结得出来的编程方式类别,即为编程范式 编程范式:面向过程编程.面向 ...

4. MySQL创建数据库并赋予权限

   1.创建一个mysql用户并设置密码create user 'MySql用户名'@'localhost' identified by '密码';2.限制账户资源grant usage on *.* t ...

5. ie、火狐、谷歌浏览器，光标定位问题

   IE:不管该行有没有文字,光标高度与font-size一致. FF:该行有文字时,光标高度与font-size一致.该行无文字时,光标高度与input的height一致. Chrome:该行无文字时, ...

6. BZOJ3759: Hungergame

   题目:http://www.lydsy.com/JudgeOnline/problem.php?id=3759 题解:只想到了两种情况必胜,没有推广T_T 先说一下我想到了两种情况: 1)异或和为0  ...

7. NTSC PAL 介绍

   NTSC-J是日本地区的模拟 电视系统和视频显示标准,于2011年7月24日在全国47个县中的44个地区停止运营.模拟广播于2012年3月31日在2011年Tōhoku摧毁的三个县停止地震和海啸(岩手 ...

8. idea导入eclipse项目的配置

   idea导入eclipse项目需要的配置 1.配置jdk,这两处选择一样就可以,也可以根据自己需求选择,上边的比下边的版本高就行 2.这里会默认和配置jdk一样 3.添加lib依赖,选择到项目的lib ...

9. C#6.0语言规范(一) 介绍

   C#(发音为“See Sharp”)是一种简单,现代,面向对象,类型安全的编程语言.C#源于C语言系列,对C,C ++和Java程序员来说很熟悉.EC#International将EC#标准化为ECM ...

10. postgresql 获取修改列的值

    使用returning CREATE TABLE users (firstname text, lastname text, id serial primary key); INSERT INTO u ...