Capture The Flag/CTF 풀이
2021 INCOGNITO CTF(Forensic-inco_hack.png 50)
이번에도 파일 카빙과 base64를 조합한 형태의 기초적인 문제입니다. png 파일이 주어집니다. inco_hack.png 파일의 hex 값 가장 뒤를 보면 png footer signature 값 뒤에 PK 형식 파일의 데이터가 추가로 포함되어 있는 것을 알 수 있습니다. PK 데이터를 카빙하고 zip 형식으로 저장한 뒤 열어보면 hidden.txt 파일이 있습니다. = 로 끝나는 것을 봐서 base64 encode 기법이 적용되어 있을 것이라 판단하고 decode 해보니 플래그를 얻을 수 있었습니다. INCO{y0u_ar3_D1FF3R#NT}
2021 INCOGNITO CTF(Forensic-question 50)
디지털 포렌식 ctf 유형 중 가장 기초적인 테크닉을 요구하는 문제라서 쉽게 풀었던 문제입니다. 문제에서 제공해주는 파일인 question.jpg 파일을 열어보면 정상적으로 확인할 수가 없습니다. 파일 시그니처가 맞지 않는 것을 의심할 수 있습니다. question.jpg hex 값을 확인해보면 파일 시그니처 값이 압축 파일의 시그니처와 동일한 것을 확인할 수 있습니다. 확장자를 zip으로 변경하고 파일을 열어보면 docx 파일의 구조를 가지고 있는 것을 확인할 수 있습니다. word\media\ 경로에 가보면 image1.jpg 라는 파일이 있으며 해당 파일의 Hex 값 가장 뒷 부분에 문자열이 삽입되어 있는 것을 확인할 수 있습니다. 문자열이 = 로 끝나는 것을 통해 base64 encoding 기법..
2021 INCOGNITO CTF(Forensic-TwinCle 50)
2021 인코그니토 CTF 포렌식 문제들만 풀어봤습니다. 그 중에서 TwinCle 이라는 문제의 풀이입니다. 문제 지문은 따로 없고 TwinCle.jpg 파일만 덩그러니 주어집니다. 다운로드 받은 jpg 파일을 열면 위와 같은 그림이 보입니다. 굉장히 많은 사람들이 풀었다는 점과 jpg 파일 하나만 준 것을 보아 간단한 카빙 문제라고 생각했습니다. 아하 역시 파일의 젤 끝을 보니 PK 데이터가 은닉되어 있네요. 압축 파일을 카빙하고 열어 보니 안에 Hidden_Cloud.jpg 파일이 있습니다. Hidden_Cloud.jpg 파일에 스테가노그라피 기법이 적용되었나 싶어서 스테가노그라피 툴도 써보고 했는데 못 찾겠더라구요. 혹시 해서 플래그 형식으로 검색을 해봤더니 플래그가 있네요. 쉽게 생각했어야 했습니..