Multimedia - Find Key(docx)

 

해당 문제는 2013 CodeGate 문제인것 같습니다.

 

파일을 하나 열어보겠습니다.

이런 사진들이 좀 많이 있습니다.

은닉되어 있는 파일이 있는지 확인하기 위해서 확장자를 .zip 파일로 변환을 해보겠습니다.

2013_CodeGate_F300-find_key\word\media 에 들어있는 파일읋 한번 확인해 보겠습니다.

 

 

사진 3개와 emf 파일확장자를 가진 파일 3개가 들어있습니다.

 

emf 파일의 header signature를 확인해 보겠습니다.

 

01 00 00 00 시그니처를 가지고 있네요. 

하지만 image6.emf 파일은 시그니처가 좀 다릅니다.

 

docx 파일의 시그니처를 가지고 있습니다.

.docx 파일로 시그니처를 변경해 보겠습니다.

 

2013 이라는 문자열이 있습니다. 

 

그리고 hint를 확인해 보면 이런 힌트들이 있습니다.

 

Extra_Field_Entry 라고 되어 있는데 아까 .docx 확장자로 변경 시킨 파일의 hex값을 다시 확인해 보면 

다른 docx 파일과는 다르게 Extra Field에 값이 없는 것을 확인 할 수 있습니다.

 

드래그 한부분이 Extra Field 영역입니다. 

이것을 보면 docx 파일이 OOXML 파일이므로 OOXML Steganography 를 한것으로 생각이 됩니다.

 

그래서 ooXML Steganography v4 라는 툴을 이용해서 한번 은닉 되어 있는 파일은 추출해 보겠습니다.

설치 경로 :  https://www.mediafire.com/file/m9hk90yv93lhfld/ooXML_Steganography_v4.zip/file

 

 

화살표 순서대로 작성을 하고 Unhide data를 선택하면 아래와 같이 stego_unpack_22.07.2019_12.48.07.txt 가 나옵니다. 

파일이름은 아마 추출하는 날짜 및 시간으로 이루어져서 나오는것 같습니다.

 

파일을 한번 열어보겠습니다.

 

Flag : c0d2gate~2o13!!F0r2nsic!!!!!

 

출처 : 디지털 포렌식 with CTF