[Forensics] 미술품 구매 계획

 

해당 문제 파일을 열어보면 pptx 파일이 하나 나오는데 미술품 관련 설명파일이다.

하지만 PPT 파일을 확인해도 Flag를 확인 할 수없습니다.

 

.zip 확장자로 변경해서 사용된 사진파일 및 XML 파일을 확인해 보겠습니다.

docProps 폴더에 들어가 보니 다음과 같이 flag.xml 파일이 있었습니다.

 

 

HxD로 한번 확인해 보면 다음과 같이 Flag가.. 있긴한데..

 

A0V3R{THIS IS NOT A FLAG}....... 

FLAG가 아니라고 합니다..ㅠ

 

다른 방법이 있을것이라고 생각이 되서 이번엔 PPT에 사용된 사진파일을 확인하러 가보겠습니다.

저번 문제에서도 PPT에 사진 하나가 더 많았었으니 가능성이 보입니다. 

 

딱히 ppt\media 폴더 안에는 사진 파일들은 ppt에 나와있는 사진의 수와 일치합니다. 

 

여기서 살짝 애를 먹었습니다. 

많은 시간도 보냈고, 여러 툴을 사용해본 결과 어디에 단서가 있었는지는 모르겠지만 제가 캐치를 못했었나 봅니다.

openstego를 이용하면 사진 파일에 은닉 되어있는 사진들을 추출 할 수 있었습니다. 

 

openstego 툴을 구버전으로 사용하고 있었던 저는 많은걸 놓칠뻔 했지만 최신버전으로 재설치 해서 문제를 풀었습니다.

 

Extract Data를 선택하고 사진 파일들을 하나씩 추출해 보겠습니다.

 

image1.png 파일을 추출해보니 flag.png 파일이 하나 나왔습니다.

확인해 보면 다음과 같습니다.

 

이 파일에는 없다고 하네요 다른 파일을 한번 확인해 보겠습니다.

 

image1~4까지 전부 똑같은 위의 사진이 추출됩니다.

image5 사진을 openstego를 통해서 추출해본 결과 다음과 같이 flag.png 파일이 하나 나왔습니다.

 

HxD를 볼 필요가 있을 것 같습니다.

 

해당 파일의 Header signature 는 FF D8 FF E0로 JPG 파일입니다. 

 

하지만 Footer signature 가 없습니다. 

 

그리고 Header 를 유심히 살펴보면 다음과 같이 어색한 모습을 확인 하실 수 있습니다.

 

실제 png 파일의 Header signature입니다.

 

0C 오프셋을 시작으로 확인을 해보면 49 48 44 52.. 동일합니다. 

 

이는 flag.png 파일은 png 파일이라는 것을 알수 있습니다. 

이처럼 Header signature를 바꾸고 저장을하면! Flag가 포함된 사진이 나옵니다.

Clear!!!