2022 BelkaCTF#5 WriteUp - Part2 (Party Girl MISSING)

2-6. Not final (700)

Not final (700)

 

I was very proud of myself, but this time I did not call the Chief. Yes, I was able to decrypt the chat, and it seemed I have the key to the puzzle in my hands. But at the same time, it appeared to be much more complicated than I thought. I expected the location, but what is that? Is this the name of some software?

 

BelkaCTF#5 6번 문제

 

Jame이 보낸 초대장을 통해 소프트웨어를 찾는 문제입니다.

 

invitation.ics 파일

C:\Users\maria\AppData\Local\Wickr, LLC\WickrMe\temp\attachments\ 경로를 보면 invitation.ics 파일이 있습니다.

해당 파일의 시그니처 값이 압축파일의 시그니처 값과 동일하기 때문에 .zip 파일로 변환을 할 수 있습니다.

 

invitation.ics 파일 내부 파일

텍스트 파일 하나와 wav 파일 하나를 확인할 수 있는데 invitation.wav 파일을 재생해보면 모스부호가 재생됩니다.

다음 URL에서 모스부호를 디코드 할 수 있습니다.

https://morsecode.world/international/decoder/audio-decoder-adaptive.html

flag : silenteye

 

---

 

2-7. BelkaRestaurant (500)

 

BelkaRestaurant (500)

 

Looks like it is a hint! And sure enough: now I can find the name of the place!

I have been thinking meanwhile: what a relation! How much the girl must have been interested in the meet up to solve all these puzzles?

 

BelkaCTF#5 7번 문제

 

예약한 식당의 위치를 찾는 문제입니다.

 

SilentEye 로 wav 파일 스테가노그래피 데이터 추출

 

모스부호 디코드를 통해 확인한 SilentEye 는 스테가노그래피를 해주는 프로그램입니다.

해당 프로그램을 설치한 후 invitation.wav 파일을 입력 값으로 넣고 디코드를 하면 위와 같이 [cup of coffees7eg.jpg] 파일을 획득할 수 있습니다.

획득한 jpg 파일을 대상으로 steghide를 수행하면 플래그를 얻을 수 있습니다.

steghide 입력에 사용되는 비밀번호는 압축파일에 포함되어 있던 eventpass.txt 파일에 적혀있는 텍스트입니다.

steghide.exe --extract -sf cup of coffees7eg.jpg -p specialevent

steghide를 성공적으로 수행하면 [steganopayload1629767.txt] 파일이 생성됩니다.

flag : Special Belkunir Pashe Restaurant

 

---

 

2-8. Open to call (150)

 

Open to call (150)

 

“Call them,” the Chief insisted.

“But Chief… I am a digital forensic guy, not a detective...”

“C’mon, boy, no time to persuade you. She has been missing for three days and has not shown up. Her parents are afraid she’s not alive.”

I sighed.

Well, indeed, the restaurant employee might have remembered her. A girl with such bright blonde hair is hard to forget.

 

BelkaCTF#5 8번 문제

 

예약한 식당의 전화번호를 찾는 문제입니다.

 

구글 검색

 

구글에 레스토랑을 검색했을 때 웹페이지 하나를 확인할 수 있습니다.

 

식당 지도로 이동되는 하이퍼링크

해당 웹페이지에 들어가면 레스토랑의 지도로 연결되는 하이퍼링크를 확인할 수 있습니다.

 

레스토랑 위치

flag : +31012341337

 

---

 

2-9. Backup (200)

 

Backup (200)

 

“Hey, sonny, I got something interesting from James, the girl’s father.”

“Interesting? What’s that, Chief?”

“He says, he just found Maria’s iPad.”

“Chief… I just got an idea! I will call you back.”

Well-well-well... an iPad… Will it allow me to access her iCloud? I have to check one useful article…

Here's the article: https://belkasoft.com/icloud-forensics-with-belkasoft-x

 

BelkaCTf#5 9번 문제

 

아이클라우드 백업을 할 수 있는 두 번째 방법을 묻는 문제입니다.

풀이 횟수 제한이 걸려있으며 3회 초과시 끝입니다.

마리아의 휴대폰은 마리아가 들고 갔기 때문에 저 상황에서는 불가능하며 신뢰된 사용자로 등록된 남자친구인 제임스의 아이폰을 통해 아이클라우드 백업이 가능합니다.

 

flag : 3

 

---

 

2-10. Mystery unveiled (150)

 

Mystery unveiled (150)

 

“Chief, Chief, what news!!”

NOW, I was really excited.

“What’s up?”

“The backup… it was created less than a day ago!”

“This doesn’t make sense. She is alive? Why is she not picking up her phone then?“

“I really don’t know. But… I will have that backup in a few minutes, once Belkasoft X completes the download.”

 

BelkaCTF#5 10번 문제

 

파티걸의 마지막 위치는 어디인지 찾는 문제입니다.

제공된 이미지 파일에 포함되어 있는 데이터로 찾는 것이 아닌 10번 문항에 도착하면 [consolidated.db] 파일을 추가로 하나 줍니다.

 

consolidated.db

SQLite Viewer를 사용해서 해당 파일의 내용을 보면 GeoFences 테이블에 GPS 좌표가 기록되어 있는 것을 확인할 수 있습니다.

Timestamp 값이 더 최신인 것을 기준으로 구글 지도에 검색을 해보면 다음과 같은 장소를 확인할 수 있습니다.

 

Party Girl 의 마지막 위치

 

파티걸은 알고보니 파티가 끝나고 귀가하던 중 교통사고를 당해서 병원에 입원해있었습니다. 두둥!

flag : Saint Margaret Hospital

 

---

 

2-11. Pride (150)

 

Pride (150)

 

The Chief looked astonished. He poured himself some whiskey, and after some thought, filled a glass for me as well.

“So, you found her alive?”

“Yes, sir. And perfectly healthy… well, almost. There was one subtle thing: she lost her memory.”

“I don’t understand, no one kidnapped her? Why didn’t she take any of her parent’s calls?”

“Yes, it’s hard to believe. Long story short—after the date she went home, but was hit by a car and brought to the hospital. Nothing serious physically, but she has amnesia. Her iPhone worked for a while, before the battery ran out of power. Looks like she made a manual iCloud backup right before the battery died. This was before her parents realized she was missing, and that explains why she didn’t take the calls.”

“I still don’t understand, you said a car accident? That means that the police must have come to the hospital and checked the details. Amnesia and a 17 years old, that would have not gone unnoticed.”

I smiled.

“Chief, remember, she’s tricky. She has a fake ID saying she’s already 18. Very useful for parties, right? Having lost her memory, she did not realize that was not her real ID, and provided it to the police. They didn’t dig too deep it seems.”

“You’re a genius, sonny! Well… Finish your whisky and go relax.”

 

BelkaCTF#5 11번 문제

 

스토리의 결말입니다.

BelkaCTF를 홍보하고 URL을 올리면 됩니다.

 

flag : present4n6.tistory.com/161

 

---

4회 CTF에 비해서는 문제에서 요구하는 부분이 조금 아쉬운 부분이 있는 것 같습니다.

그래도 높은 기술 수준을 요구하는 대회는 아니라서 나름대로 시간 잘 보낸것 같네요!

이번 시나리오도 꽤나 재미있었던 것 같습니다.