Multimedia Forensic #26 이 그림에는 뭔가 좀 수상한...
문제를 보면 이 그림에는 뭔가 수상한 점이 있다고 하고, 플래그를 찾아달라고 합니다.
그리고 PurpleThing이라는 이름으로 된 png 파일이 주어집니다.
png 파일을 열어 보면 위 화면과 같은 사진이 나옵니다.
사진 파일 확장자를 가졌지만, 혹시 다른 파일 시그니처로 되어 있지 않은가해서 파일 유형을 자세하게 분석하기 위해 file 명령어로 분석해보았습니다.
확인해본 결과, 일반적인 png파일이라는 것을 확인할 수 있습니다.
혹시 메타데이터 정보에 플래그가 있지 않을까 해서 exiftool 도구를 사용해 분석해보았습니다.
exiftool : 이미지, 비디오, 파일 등의 메타데이터를 분석, 수정하는 기능을 제공해주는 프로그램
설치 사이트 : https://sourceforge.net/projects/exiftool/
메타데이터 정보를 봐도 플래그 값은 나오지 않습니다.
하지만 파일의 크기가 2.2MB로 봐서 사진 파일치고는 꽤 큰 용량을 가진 파일이라는 것을 확인할 수 있습니다.
파일 안에 다른 파일이 숨겨져 있을 것 같아 binwalk 도구를 통해 확인해보았습니다.
binwalk : 대표적인 펌웨어 분석 툴로, 펌웨어 분석뿐만 아니라 포렌식 시 파일 카빙 등에 사용할 수 있는 유용한 도구
참고 사이트 : https://github.com/ReFirmLabs/binwalk
ReFirmLabs/binwalk
Firmware Analysis Tool. Contribute to ReFirmLabs/binwalk development by creating an account on GitHub.
github.com
확인한 결과, PNG 파일 안에 JPG 파일이 더 있는 것을 확인할 수 있습니다.
숨겨진 파일을 추출하기 위해 foremost 도구를 써서 데이터를 추출하였습니다.
foremost : 데이터 복구를 위한 카빙 도구로 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제 등에 자주 사용되는 툴
설치 사이트 : http://foremost.sourceforge.net/
Foremost
Foremost Introduction Foremost is a console program to recover files based on their headers, footers, and internal data structures. This process is commonly referred to as data carving. Foremost can work on image files, such as those generated by dd, Safeb
foremost.sourceforge.net
추출하면 output이라는 폴더가 생기고, 폴더를 확인하면 한 개의 폴더(jpg)와 한 개의 파일(audit.txt)이 생성되는 것을 확인할 수 있습니다.
jpg 폴더를 확인해보면 플래그 값이 나오게 됩니다.
FLAG = ABCTF{PNG_S0_COO1}
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Multimedia Forensic] Find Key (Movie) (0) | 2019.08.29 |
|---|---|
| [Multimedia Forensic] 오른쪽 위의 표지판을 읽을 수... (0) | 2019.08.28 |
| [Multimedia Forensic] 거래 조건 알고 있잖아요? (0) | 2019.08.28 |
| [Multimedia Forensic] 조수의 차이만큼 하얗습니다! :D (0) | 2019.08.28 |
| [Multimedia Forensic] 저는 당신의 생각을 알고 있습니다. (0) | 2019.08.28 |