Multimedia Forensic #7 Find Key(moon)
문제를 보면 moon 이름으로 된 png 파일을 주고, 달에서 키 값을 찾는 문제입니다.
파일을 열어보면 달 모양으로 된 사진이 있고, 저는 binwalk를 통해 다른 시그니처가 있는지 확인해보았습니다.
확인해보면 zip 확장자의 파일과 flag.txt가 압축되어 있는 것을 확인하실 수 있습니다.
저는 이럴 때 바로 HxD를 켜서 zip 파일 시그니처를 확인합니다.
ZIP 파일의 시그니처인 50 4B 03 04를 입력해서 검색한 결과, 49 45 4E 44 AE 42 60 82가 PNG 파일의 푸터 시그니처이므로 그 다음부터는 ZIP 파일의 헤더 시그니처인 50 4B 03 04로 시작해서 flag.txt 파일이 압축된 압축파일이 있습니다.
바로 zip 파일을 추출하기위해, zip 파일만 드래그해서 복사한 다음 새로 열기하고, 붙여넣기를 해주고 확장자를 zip으로 해주면 zip 파일을 추출해낼 수 있습니다.
압축파일에 암호가 걸려있어서 암호가 뭘까 계속 생각하다가 문제에서 moon이라는 단어가 생각나서 moon을 입력해줬더니 압축파일을 풀 수 있었습니다.
moon을 입력하여 압축을 풀어주면 이런 플래그가 나오게 됩니다.
이렇게 쉽게 풀 수도 있지만, 좀 다르게 풀 수 있는 방법도 알려드리겠습니다.
foremost 도구를 활용해서 해당 파일을 추출할 수 있습니다.
foremost : 데이터 복구를 위한 카빙 도구로 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제 등에 자주 사용되는 툴
설치 사이트 : http://foremost.sourceforge.net/
Foremost
Foremost Introduction Foremost is a console program to recover files based on their headers, footers, and internal data structures. This process is commonly referred to as data carving. Foremost can work on image files, such as those generated by dd, Safeb
foremost.sourceforge.net
리눅스 툴로 활용하실거면 apt-get install foremost로 설치하실 수 있습니다.
위와 같이 명령을 수행하면 output 디렉터리가 생기게 되고, 하위 zip 디렉터리에서 00000804.zip 파일을 확인할 수 있습니다.
tree 명령어 : 리눅스에서 ls 명령어를 사용하면, 특정 위치에 존재하는 디렉터리와 파일들을 확인할 수 있지만 작업을 진행하다보면 디렉터리 및 파일을 구조적으로 확인하고 싶을 때, tree 명령어는 디렉터리와 파일을 tree 형식으로 출력해줍니다. (설치 필요 : apt-get install tree)
00000804.zip 파일을 압축해제하려면 비밀번호를 입력하라고 나옵니다. 처음 방법과 같이 moon을 입력해주면 압축이 해제되고, flag.txt 파일을 확인할 수 있습니다.
flag.txt 파일을 확인하면 플래그를 확인할 수 있습니다.
FLAG = sun{0kay_it_is_a_m00n}
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Multimedia Forensic] 내 친구는 이것이 특별한... (0) | 2019.08.24 |
|---|---|
| [Multimedia Forensic] Three Thieves Threw Trumpets Through Trees (0) | 2019.08.24 |
| [Multimedia Forensic] Find Key(butterfly) (0) | 2019.08.23 |
| [Multimedia Forensic] 플래그를 찾아라! (0) | 2019.08.23 |
| [Multimedia Forensic] 우리는 이 파일에 플래그를... (0) | 2019.08.22 |