前言

在網(wǎng)上看到了幾篇有意思的文章，感覺能和自己之前在打CTF比賽時的知識相結(jié)合，遂自己動手復(fù)現(xiàn)一下。

01

準(zhǔn)備

打開該URL：https://portal.myzyxel.com/my/firmwares，發(fā)現(xiàn)需要登錄：

使用臨時郵箱注冊就可以解決問題，畢竟你也不想讓自己常用的郵箱變?yōu)槔]件回收站吧？注冊后繼續(xù)訪問該網(wǎng)站，選擇如下圖所示的版本號：

點擊后面的Download下載文件，下載后對zip壓縮包解壓unzip -d ./firmware firmware.zip，可以得到：

現(xiàn)在我們的目標(biāo)是解壓出該設(shè)備的文件系統(tǒng)（file-system），所以當(dāng)前的目標(biāo)為470AALA0C0.bin，使用binwalk查看信息：

基本為1，這表明該固件處于加密或壓縮狀態(tài)；使用binwalk 470AALA0C0.bin查看其狀態(tài)：

該bin文件實際上是處于加密狀態(tài)的zip壓縮包，可以使用file命令驗證一下：

同樣需要注意的是解壓出來的不僅只有bin文件，還有一些其他文件，這些文件可能對我們之后的解密470AALA0C0.bin帶來一些幫助：

分別計算這些文件的CRC32校驗值：

將470AALA0C0.bin拖拽到Windows中，使用7-zip打開，逐級目錄翻找，最終發(fā)現(xiàn)./db/etc/zyxel/ftp/conf目錄下的system-default.conf與前面的470AALA0C0.conf校驗值相同：

這說明這兩個文件完全相同，所以我采用明文攻擊的手段來解包該加密的bin文件

02

解包方式1 — 明文攻擊

雖說明文攻擊時現(xiàn)在CTF中一種常見的雜項題目類型，但是在這里我還是要強(qiáng)調(diào)幾個問題，這里就以上面加密的system-default.conf為例吧：

明文攻擊成功需要同時滿足三個條件，缺一不可：

用戶擁有壓縮包中已知的明文文件（部分或全部）。

明文文件在攻擊前需要與對應(yīng)的加密文件使用相同的壓縮算法壓縮成壓縮包（可以簡單的認(rèn)為是使用相同的壓縮工具），就比如說密文system-default.conf使用的壓縮算法為ZipCrypto Deflate:Maximum

密文文件的壓縮算法需要是ZipCrypto Store/ZipCrypto Deflate

密文文件的加密方式不能是AES，即不能是AES256-Deflate / AES256-Store，只能是ZipCrypto Deflate / ZipCrypto Store.

下面我們來說一下具體的破解過程，我一開始嘗試的是之前一直在使用的ARCHPR 4.54 Professional Edition：

但是該工具無法識別，就算文件擴(kuò)展名改為.zip也不行，可能因為ARCHPR是很老的緣故了，不支持現(xiàn)在使用最新算法的加密包。仔細(xì)想想我們?yōu)槭裁匆欢ǚ且肳indows下的ARCHPR進(jìn)行破解呢？從加密包可以知道**system-default.conf**在Unix系統(tǒng)上被壓縮（極有可能為Linux系統(tǒng)上的壓縮軟件），因此我們轉(zhuǎn)而使用另外一款工具pkcrack。