CTF中对于xml文件的处理方式
最近几天在刷一些平台上的ctf题,遇到了好多文件解压出来以后是xml格式的,觉得就我现阶段能接触的题来说,还是有一点经验可循的,我是一个刚入坑的小白,有误之处还请路过的大牛指正。
首先感谢BugKu这个ctf平台,我要跟大家一起分享的这道题目是BugKu平台的名为眼见不一定为实的题目,下载后发现文件名为zip但是没有后缀,加后缀zip后发现解压出一个.dcox文件,打不开。眼见不一定为实啊,说的不就是他虽然是.docx后缀,但他不一定是真的.dcox文件啊。扔到winhex中,文件头为504B0304,很明显这个文件其实是一个zip文件。修改后缀为.zip。在ctf的题目中,经常发现没有后缀,或者是后缀故意给错的情况。对于这种情况,我一般来说采取的措施是直接扔到winhex看文件头,在这里给大家整理了一下各种文件的头,希望能帮到刚入坑的小白白们。
JPEG (jpg),文件头:FFD8FF
PNG (png),文件头:89504E47
GIF (gif),文件头:47494638
TIFF (tif),文件头:49492A00
Windows Bitmap (bmp),文件头:424D
CAD (dwg),文件头:41433130
Adobe Photoshop (psd),文件头:38425053
Rich Text Format (rtf),文件头:7B5C727466
XML (xml),文件头:3C3F786D6C
HTML (html),文件头:68746D6C3E
Email [thorough only] (eml),文件头:44656C69766572792D646174653A
Outlook Express (dbx),文件头:CFAD12FEC5FD746F
Outlook (pst),文件头:2142444E
MS Word/Excel (xls.or.doc),文件头:D0CF11E0
MS Access (mdb),文件头:5374616E64617264204A
WordPerfect (wpd),文件头:FF575043
Adobe Acrobat (pdf),文件头:255044462D312E
Quicken (qdf),文件头:AC9EBD8F
Windows Password (pwl),文件头:E3828596
ZIP Archive (zip),文件头:504B0304
RAR Archive (rar),文件头:52617221
Wave (wav),文件头:57415645
AVI (avi),文件头:41564920
Real Audio (ram),文件头:2E7261FD
Real Media (rm),文件头:2E524D46
MPEG (mpg),文件头:000001BA
MPEG (mpg),文件头:000001B3
Quicktime (mov),文件头:6D6F6F76
Windows Media (asf),文件头:3026B2758E66CF11
MIDI (mid),文件头:4D546864
好了,咱们言归正传,回到题目中。改好后缀后打开发现一群文件都是.xml后缀
这么多的文件,应该如何在最短的时间里找出flag呢?我发现,此类题目,flag一般藏在上图的Word文件中,打开word文件
打开后,flag一般来说就藏在document.xml中。
知道这个小窍门以后,是不是就在解题过程中少走了一些弯路节省了一些时间呢?祝大家玩得愉快。