2021 INCOGNITO CTF(Forensic-question 50)

Forensic - question 문제

 

디지털 포렌식 ctf 유형 중 가장 기초적인 테크닉을 요구하는 문제라서 쉽게 풀었던 문제입니다.

 

 

question.jpg

 

문제에서 제공해주는 파일인 question.jpg 파일을 열어보면 정상적으로 확인할 수가 없습니다.

파일 시그니처가 맞지 않는 것을 의심할 수 있습니다.

 

 

question.jpg hex value

 

question.jpg hex 값을 확인해보면 파일 시그니처 값이 압축 파일의 시그니처와 동일한 것을 확인할 수 있습니다.

 

 

question.zip

 

확장자를 zip으로 변경하고 파일을 열어보면 docx 파일의 구조를 가지고 있는 것을 확인할 수 있습니다.

 

 

image1.jpg hex value

 

word\media\ 경로에 가보면 image1.jpg 라는 파일이 있으며 해당 파일의 Hex 값  가장 뒷 부분에 문자열이 삽입되어 있는 것을 확인할 수 있습니다.

 

 

Flag

 

문자열이 = 로 끝나는 것을 통해 base64 encoding 기법이 적용된 것을 추측할 수 있으며 디코딩하면 플래그를 얻을 수 있습니다.

 

INCO{2021_incognito_swlug}