[Multimedia Forensic] 저희는 이 문서를 찾았습니다.

Multimedia Forensic #22 저희는 이 문서를 찾았습니다.

 

22번 문제

문제를 보면 docx라는 확장자가 여기 CTF에서 처음으로 나옵니다.

 

docx 확장자

 

docx 프로그램으로는 정말 유용하게 쓰이는 워드 프로그램이 있습니다.

 

워드 프로그램 실행

 

워드 프로그램으로 열기를 해보면 이곳에는 플래그가 없다는 것을 확인할 수 있습니다.

 

문제 지문에서 docx 파일이 정확히 무엇이냐고 물어봐서 리눅스에서 file 명령어를 통해 정확한 파일 유형을 확인해보았습니다.

 

file 명령어 입력

file 명령어를 입력하면 마이크로소프트 워드 파일로 나옵니다.

 

binwalk 실행

하지만 binwalk를 실행해보면 zip파일이 가득찬 파일로 나오게 됩니다.

 

binwalk : 대표적인 펌웨어 분석 툴로, 펌웨어 분석뿐만 아니라 포렌식 시 파일 카빙 등에 사용할 수 있는 유용한 도구 

 

참고 사이트 : https://github.com/ReFirmLabs/binwalk

 

zip 압축파일이라고 생각하고, 확장자를 .zip으로 확장자를 변경해주고 압축을 풀어보았습니다.

 

unzip 입력

 

unzip 명령어로 압축을 풀면 추출된 파일들 중에서 flag.txt 파일을 확인할 수 있습니다.

 

cat 명령어를 통해 플래그 값을 확인할 수 있습니다.

 

플래그 값 확인

 

FLAG = this_would_be_the_flag_you_are_looking_for