2022 BelkaCTF#5 WriteUp - Part1 (Party Girl MISSING)

2022 BelkaCTF#5 Party Girl MISSING

 

2022년 7월 29일 20:00 시 (UTC+9) 부터 24시간 동안 개최되었던 BelkaSoft 사의 5번째 CTF인 Party Girl Missing 문제 풀이를 작성해보겠습니다.

 

https://belkasoft.com/ctf_july_2022/

---

1. 케이스 도입부 시나리오

 

It was another record breaking day of heat in the city. The sun seemed to effortlessly squeeze the sweat from my brow as I made the short walk from the street into our building. My mind couldn't help but wander back to my phone conversation late last night with the newly promoted Chief. In the world of digital forensics, late-night phone calls are a harbinger of bad news—usually really bad. It's probably why I could feel a new sensation of tension balled in my shoulders—a feeling that, if I was completely honest, I kind of liked as it meant the hunt was afoot.

I remember my eyes opening to the sound of the phone ringing. "Chief, let me guess ...", my words hung on the line as the Chief interrupted, "First thing tomorrow morning, my office."

Here I was, being motioned into the Chief's office to hear another tragic story that I know only all too well. I take a seat in an over-used chair opposite the Chief and his desk as he begins to brief me on the latest.

"A girl, 17-years old, a party girl—you know the type, young, invincible, trusting her friends more than her own parents. She was last seen at a party two, well, now three days ago. Her parents said they didn't think much of it the first day or two. Of course, I didn't tell the parents how cold a case looks just 72-hours after the fact, but that's where we are on this one."

"There may not be a lot to go on physically, but she had to have a phone or a computer, right?"

"You'll find out once you get to the lab."

 

 

17세 소녀, 파티걸, 어리고, 무적이며, 자신의 부모보다 친구를 더 신뢰하는 타입

마지막으로 신변이 확인된 것은 파티현장이며 그 후 3일째 연락두절이라 부모님이 실종신고를 접수한 상황입니다.

---

BelkaCTF#5 문제

 

문항은 총 11개입니다.

 

---

2. 문제풀이

 

2-1. User (150)

 

User (150)

 

That’s going to be the usual routine: first of all, I need to find out what kind of operating system is inside the laptop and check if the girl is the only user.

 

BelkaCTF#5 1번 문제

 

1번 문항인 User 입니다.

사용자 SID (Security Identifier) 를 구하면 되는 문제입니다.

문제 이미지

FTK Imager로 문제 파일을 열어보면 Windows OS를 사용하고 있는 것을 알 수 있습니다.

 

SID 확인

사용자 SID를 확인하는 방법은 여러가지가 있는데, 저는 SOFTWARE 하이브 파일의 Microsoft\Windows NT\CurrentVersion\ProfileList 에서 확인을 했습니다.

flag : S-1-5-21-1751165416-2537581589-3438259779-1001

 

---

 

2-2. Missing stuff (200)

 

Missing stuff (200)

“Well, she was just seventeen…”—I whistled this song while working out the case details in Belkasoft X. At this age everyone has a smartphone—but naturally, the girl took it with her. I wonder, if there is a mobile backup on the laptop? Let me check what type of phone it was —this way, I will know where to locate the backup...

 

BelkaCTF#5 2번 문제

사용자의 휴대폰 기종을 묻는 문제입니다.

PC에 모바일 백업 관련 데이터가 있다고 하길래 한참 찾았습니다. 그런데 검색했을 때 나오는 백업 폴더가 존재하지 않아서 이상했는데 다른 곳을 뒤지다보니 사진 파일로 해결할 수 있었습니다.

 

1bb3ed5218a057d9e1798f05064854e5.jpg

C:\Users\maria\OneDrive\Pictures\Meh\1bb3ed5218a057d9e1798f05064854e5.jpg 파일의 메타데이터를 보면 촬영한 휴대폰 정보가 남겨져 있습니다.

flag : iPhone 8

 

---

 

2-3. Going further (200)

 

Going further (200)

“Hey Chief. Just a small heads up. I did not find any backup on the laptop—apparently it is stored in the cloud… if it is stored at all.”

“Why don’t you check the traditional stuff?”

“Email? Right, I am on it!“

 

BelkaCTF#5 3번 문제

 

파티걸이 사용한 이메일 소프트웨어의 버전을 찾는 문제입니다.외국에서 사용하는 메일 프로그램이라 하니 Thunderbird가 바로 생각이 났습니다.설치된 프로그램 목록은 SOFTWARE 하이브 파일의 Microsoft\Windows\CurrentVersion\Uninstall\ 에서 확인할 수 있습니다.

flag : 91.10.0

 

---

 

2-4. Boyfriend? (150)

 

Boyfriend? (150)

 

Well, at least she stores her email locally, at least that’s something. Let's see if there's anything interesting inside...

 

BelkaCTF#5 4번 문제

 

가장 최근에 파티 초대 메일을 보낸 사람의 메일 주소를 찾는 문제입니다.

C:\Users\maria\AppData\Roaming\Thunderbird\Profiles\06vf5i5m.default-release\ImapMail\outlook.office365.com\INBOX 에서 메일 데이터를 확인할 수 있습니다.

 

가장 최근에 받은 메일

flag : jamegkmail@protonmail.com

 

---

 

2-5. Final! (700)

 

Final! (700)

 

I called the Chief excitedly. “Chief, looks like I am very close! I only need to get one chat and I am going to have her last location!”

There was just one little nuisance: the entire chat history seems encrypted.

 

BelkaCTF#5 5번 문제

 

Chat 의 비밀번호를 찾는 문제입니다.

C:\Users\maria\AppData\Wickr, LLC\Wakemeup.txt 파일을 통해 확인할 수 있습니다.

 

Base64 인코딩된 파일

 

위 인코딩 데이터를 Base64 방식으로 40번 디코딩하면 passwd: julie@2000 이라는 문자열을 획득할 수 있습니다.

이 문제는 지문만 봐서는 풀이 방향을 전혀 다르게 잡을 수 있는 문제가 아닌가 싶습니다.

저도 처음엔 Wicker를 복호화해야 되는줄 알고 이상한 거에 시간을 쏟았습니다ㅠㅠ

flag : julie@2000

 

---

2022 BelkaCTF 5번 문제까지의 풀이 방법을 알아봤습니다.

나머지 문제는 Part 2 에서 계속하도록 하겠습니다.