Multimedia - 타이틀 참조

문제의 파일을 확인해 보면 프레임 마다 QRcode가 달라지는 것을 확인 할 수 있습니다.

 

총 몇개의 프레임이 있는지 확인 하기 위해서 Animated GIF Frame Extractor 툴을 이용해서 한번 확인해 보겠습니다.

https://www.softpedia.com/get/Multimedia/Graphic/Graphic-Others/Animated-Gif-Frame-Extractor.shtml

 

 

총 88개의 프레임이 추출되는 것을 확인 할 수 있었습니다.

 

해당 QRcode 값이 어떤지 확인 하기 위해서 python 코드를 작성해 보겠습니다.

 

해당 코드에서 저는 매번 다른 QRcode 모듈을 사용했지만 이번에는 zbarlight 모듈을 사용해보려고 합니다.

=> python2를 써야 하기 때문에 리눅스에서 작업을 할 예정이이므로 다음과 같은 선행 설치 환경을 진행합니다.

 

apt-get install libzbar0 libzbar-dev

pip install zbarlight

 

 

결과를 확인해 보면 다음과 같습니다.

 

 

이런식의 값이 들어있는데 youtube url이 들어있습니다.

 

들어가보면 Tab Dance 관련 내용이 들어있습니다.

 

암호화 기법중에 Tab Dance와 관련된 암호화가 있습니다.

Tab Code : https://en.wikipedia.org/wiki/Tap_code

 

QRcode의 결과값이 겹치는 것을 수치로 변환을 해보면 다음과 같습니다.

1 4 3 4 4 4 1 4 3 4 3 4 4 4 1 4 3 4 4 4 1 4 5 4 4 4 입니다.

 

Tab Code를 보면 다음과 같은 로직으로 암/복호화가 가능하기 때문에 2개씩 묶어 보겠습니다.

 

14 34 44 14 34 34 44 14 34 44 14 54 44 가 되고 문자로 변환을 하면 다음과 같이 나옵니다.

 

DOTDOOTDOTDYT 가 나옵니다.

 

Hint 3을 보면 타이밍이 중요하다 라고 하기에 이문제에서 타이밍 이라고 하니까 떠오는 시간 타이밍은 각각의 사진이 넘어가는데 얼마나 걸리는가 에 대한 시간값이 먼저 떠올랐다.

 

 

identify -format "%T\n" 명령어와 옵션을 이용해서 프레임마다 넘어가는 시간을 봤는데 40과 50이 나열되어 있습니다.

 

40은 문자로 (, 50은 문자로 2입니다.

많은 시도 끝에 40을 . 로 50을 -로 변환해서 모스부호를 만들어서 변환하면 값이 나오는 것을 확인할 수 있었습니다.

 

tr -d "0\n"으로 40을 4로 50을 5로 자르고 변환해서 출력을 했더니 모스 부호가 출력이 되었습니다.

 

해당 모스부호를 번역해보겠습니다.

 

DO7DOO7DO7DO7DOO7DOO7DOO7 이라는 값이 나왔습니다.

 

그리고 한동안 멍하니 있다가 Hint1과 아까 우연히 느꼈던 감이 떠오르기 시작했습니다.

 

Hint 1 : Flag는 두 부분의 조합

그리고 아까 qrcode 값을 출력한뒤 나온 값들을 연결해 보면 다음과 같습니다.

 

two parts all lower add 9447{ to start and { to the end first looks like 7d0 cut off 450ms second like https://www.youtube.com/watch?v=5xxTkB5bGy4 like faucet script 라고 표현되는데 7do와 비슷한 문자열을 9447{뒤에 적으라고 되어 있기에 Flag를 맞출수 있습니다.

9447{DO7DOO7DO7DO7DOO7DOO7DOO7DOTDOOTDOTDYT} 를 소문자로 변환...

 

Flag : 9447{do7doo7do7do7doo7doo7doo7dotdootdotdyt}

 

출처 : 디지털 포렌식 with CTF