디지털 포렌식 ctf 유형 중 가장 기초적인 테크닉을 요구하는 문제라서 쉽게 풀었던 문제입니다.
문제에서 제공해주는 파일인 question.jpg 파일을 열어보면 정상적으로 확인할 수가 없습니다.
파일 시그니처가 맞지 않는 것을 의심할 수 있습니다.
question.jpg hex 값을 확인해보면 파일 시그니처 값이 압축 파일의 시그니처와 동일한 것을 확인할 수 있습니다.
확장자를 zip으로 변경하고 파일을 열어보면 docx 파일의 구조를 가지고 있는 것을 확인할 수 있습니다.
word\media\ 경로에 가보면 image1.jpg 라는 파일이 있으며 해당 파일의 Hex 값 가장 뒷 부분에 문자열이 삽입되어 있는 것을 확인할 수 있습니다.
문자열이 = 로 끝나는 것을 통해 base64 encoding 기법이 적용된 것을 추측할 수 있으며 디코딩하면 플래그를 얻을 수 있습니다.
INCO{2021_incognito_swlug}
'Capture The Flag > CTF 풀이' 카테고리의 다른 글
2021 INCOGNITO CTF(Forensic-코로나바이러스 대응 긴급조회 453) (0) | 2021.09.02 |
---|---|
2021 INCOGNITO CTF(Forensic-HS 325) (0) | 2021.09.01 |
2021 INCOGNITO CTF(Forensic-SWUCTFINCO 50) (0) | 2021.09.01 |
2021 INCOGNITO CTF(Forensic-inco_hack.png 50) (0) | 2021.08.31 |
2021 INCOGNITO CTF(Forensic-TwinCle 50) (0) | 2021.08.29 |