[Multimedia Forensic] Hash

Multimedia Forensic #42 Hash

 

 

42번 문제

 

문제 제목이 Hash라는 것을 보고, Hash 값으로 푸는 문제 같습니다.

 

문제를 보면 압축된 파일이 주어집니다.

 

암호가 걸려 있음

압축을 풀려고 하면 암호가 걸려 있습니다.

 

지문에서 제공된 비밀번호를 입력하면 압축이 풀어집니다.

 

압축된 파일 확인

압축을 풀게 되면 clue.zip 파일과 wallpaper.jpg 파일이 생성됩니다.

 

clue.zip 파일은 또 암호가 걸려 있습니다.

 

혹시 또 지문에 있는 비밀번호인가 확인해보면 압축이 풀리지 않습니다.

 

그래서 압축을 해제하기 위해 분석해보았습니다.

 

wallpaper.jpg 확인

wallpaper.jpg 파일을 확인해보면 위 사진과 같이 조커 사진을 확인할 수 있습니다.

 

추가적인 분석을 하기 위해 exiftool 프로그램을 사용하였습니다.

 

exiftool : 이미지, 비디오, 파일 등의 메타데이터를 분석, 수정하는 기능을 제공해주는 프로그램

 

설치 사이트 : https://sourceforge.net/projects/exiftool/

exiftool

exiftool 프로그램 사용

 

exiftool을 사용하여 결과를 확인해보면 사진 파일에 대한 설명 중에 XP Comment에 마지막이 =으로 끝나는 것을 보고 base64로 인코딩 된 데이터를 확인할 수 있습니다.

 

base64 디코딩 사이트를 이용하여 데이터를 변환해보았습니다.

 

base64 인코딩/디코딩 사이트 : https://www.base64decode.org/

Base64 Decode and Encode - Online

base64 디코딩된 데이터

데이터가 디코딩되면 이번에는 md5 같은 문자열을 확인할 수 있습니다.

 

md5 값이 어떤 데이터인지 확인하기 위해 md5 디코딩 웹사이트를 이용하여 데이터를 확인해보았습니다.

 

md5 디코딩 사이트 : http://hashtoolkit.com/

Decrypt MD5 & SHA1 Password Hashes

md5 디코딩 데이터

 

데이터를 디코딩하면 j0k3r 문자열을 확인할 수 있습니다.

 

이 문자열이 clue.zip 파일의 비밀번호인지 확인해보았습니다.

 

압축 해제 성공

압축이 플리게 되고, 안에 있는 파일은 history.txt 파일과 jokerBrangkas.zip 파일이 들어있는 것을 확인할 수 있습니다.

 

jokerBrangkas.zip 암호 확인

 

jokerBrangkas.zip 파일 안에 PL49!.txt 파일이 압축되어 있어서 압축을 해제하려고 하면 또 암호가 걸려 있습니다.

 

이 암호에 대한 힌트를 찾기 위해 history.txt 파일을 분석해보았습니다.

 

history.txt 파일 내용 확인

history.txt 파일을 확인해보면 조커에 대한 소개하는 글이 존재합니다.

 

여기서 특이한 점은 알파벳의 대문자가 문장이 시작될 때 사용되는 것이 아니라 불규칙하게 사용되고 있는 것을 확인할 수 있습니다.

 

그리고 중간에 숫자가 포함되어 있는 것을 확인할 수 있습니다.

 

이상해 보이는 영어 대문자와 숫자만 추출해보았습니다.

 

grep,tr 명령어 옵션 사용

 

grep -o : 매치되는 문자열만 표시해줍니다.

 

tr -d : 지정한 문자를 삭제하고 출력시켜줍니다.

 

대문자 알파벳과 숫자만 추출하면 20자의 문자열을 확인할 수 있습니다.

 

이 문자열이 jokerBrangkas.zip 파일 암호가 맞는지 확인해보았습니다.

 

플래그 값 확인

 

내용을 확인하면 플래그 값을 확인할 수 있습니다.

 

FLAG = fL4G0nd0L-j0K3rS