[Forensics] Castles

 

파일을 hex값으로 열어보면 다음과 같습니다.

 

hex의 주소값이 매우 크고 아래에 숨겨진 키가 있는데 이는 F2I and A1S라고 합니다.

 

일단 주소가 매우 큰것으로 보아 숨겨진 파일이 있을것으로 생각됩니다.

binwalk 명령을 통해서 파일을 뽑아내겠습니다.

 

파일을 출력하겠습니다.

 

4개의 성과 하나의 마리오 사진이 있습니다.

 

마리오 사진을 보면 문을 열기 위해서는 key가 필요하다고 합니다.

 

아까 얻은 힌트로는 F2I and A1S 이것이 있습니다.

 

일단 저사진들이 있었던 파일인 Castles.001의 hex를 보겠습니다. 

모든 성사진은 jpg로 되어있어서 시그니처값은 FF D8입니다.

첫번째 오프셋에 사진이 하나가 있습니다. 확인해보니 해당 사진은  Castelo_da_Feira.jpg 입니다.

 

두번째 오프셋에 가보겠습니다.

두번째 오프셋에 있는 사진의 이름은 Inveraray_Castle_-_south-west_Facade.jpg 입니다.

하지만 두사진 사이에 LO987YTFGY78IK 이라는 문자열이 있습니다.

 

이것으로 아까의 힌트의 의미를 알수 있습니다.

F2I   =>    Feira.jpg와 Inverarary로 시작하는 파일의 사이에 KEY값이 있는데 쪼개져 있어서 2번째에 위치한다.

라는점을 알수 있습니다. 그렇다는 것은 KEY값이 하나더 있을 것이고 1번째에 위치할것입니다.

 

한번 확인해 보겠습니다.

있습니다!!

 

KEY값은 : AQ273RFGHUI91OLO987YTFGY78IK 입니다. 해당 키값을 가지고 문을 열어봅시다.

 

KEY값은 사진안에 데이터를 숨기는 명령인 steghide로 숨겼을 것입니다.

 

Flag : flag{7H4NK5_F0R_PL4Y1NG}