前言

在網(wǎng)上看到了幾篇有意思的文章，感覺能和自己之前在打CTF比賽時的知識相結合，遂自己動手復現(xiàn)一下。

01

準備

打開該URL：https://portal.myzyxel.com/my/firmwares，發(fā)現(xiàn)需要登錄：

使用臨時郵箱注冊就可以解決問題，畢竟你也不想讓自己常用的郵箱變?yōu)槔]件回收站吧？注冊后繼續(xù)訪問該網(wǎng)站，選擇如下圖所示的版本號：

點擊后面的Download下載文件，下載后對zip壓縮包解壓unzip -d ./firmware firmware.zip，可以得到：

現(xiàn)在我們的目標是解壓出該設備的文件系統(tǒng)（file-system），所以當前的目標為470AALA0C0.bin，使用binwalk查看信息：

基本為1，這表明該固件處于加密或壓縮狀態(tài)；使用binwalk 470AALA0C0.bin查看其狀態(tài)：

該bin文件實際上是處于加密狀態(tài)的zip壓縮包，可以使用file命令驗證一下：

同樣需要注意的是解壓出來的不僅只有bin文件，還有一些其他文件，這些文件可能對我們之后的解密470AALA0C0.bin帶來一些幫助：

分別計算這些文件的CRC32校驗值：

將470AALA0C0.bin拖拽到Windows中，使用7-zip打開，逐級目錄翻找，最終發(fā)現(xiàn)./db/etc/zyxel/ftp/conf目錄下的system-default.conf與前面的470AALA0C0.conf校驗值相同：

這說明這兩個文件完全相同，所以我采用明文攻擊的手段來解包該加密的bin文件

02

解包方式1 — 明文攻擊

雖說明文攻擊時現(xiàn)在CTF中一種常見的雜項題目類型，但是在這里我還是要強調幾個問題，這里就以上面加密的system-default.conf為例吧：

明文攻擊成功需要同時滿足三個條件，缺一不可：

用戶擁有壓縮包中已知的明文文件（部分或全部）。

明文文件在攻擊前需要與對應的加密文件使用相同的壓縮算法壓縮成壓縮包（可以簡單的認為是使用相同的壓縮工具），就比如說密文system-default.conf使用的壓縮算法為ZipCrypto Deflate:Maximum

密文文件的壓縮算法需要是ZipCrypto Store/ZipCrypto Deflate

密文文件的加密方式不能是AES，即不能是AES256-Deflate / AES256-Store，只能是ZipCrypto Deflate / ZipCrypto Store.

下面我們來說一下具體的破解過程，我一開始嘗試的是之前一直在使用的ARCHPR 4.54 Professional Edition：

但是該工具無法識別，就算文件擴展名改為.zip也不行，可能因為ARCHPR是很老的緣故了，不支持現(xiàn)在使用最新算法的加密包。仔細想想我們?yōu)槭裁匆欢ǚ且肳indows下的ARCHPR進行破解呢？從加密包可以知道**system-default.conf**在Unix系統(tǒng)上被壓縮（極有可能為Linux系統(tǒng)上的壓縮軟件），因此我們轉而使用另外一款工具pkcrack。