[Forensics] Double Trouble

파일이 2가지가 있습니다. 

 

둘다 확인해 보면 겉으로는 같은 파일에 이름만 바뀐거 처럼 보이지만 HxD를 확인해 보면 koala.png에서 Flag를 찾았습니다.

 

Flag : hsctf{youthoughtboi} 

 

 

라고 하면 352점의 문제가 전혀 아니겠죠?ㅋㅋㅋㅋ!

 

저 Flag는 가짜 Flag입니다.

 

두개의 파일 겉모습이 같고 내부 파일 구조가 다른 거로 봐서 내부의 값들이 조금씩 다를 거라는 생각이 들었습니다.

 

문득 생각난 스테가노 그래피가 있는데 바로 LSB 스테가노 그래피 입니다.

LSB 스테가노 그래피는 공간적인 변환 방법으로 예를 들면 흰색 바탕의 LSB를 1만큼 변조하여 사람의 눈으로 알아 차릴수 없는 이미지 변화를 일으킵니다.

 

그리고 8byte씩 끊어서 ascii랑 연결 시킬수 있습니다.

즉, 눈으로 보기에는 같은 색이지만 LSB가 1씩 차이가 난다면 이 기법을 의심 해야 합니다.

 

LSB를 확인해 주는 툴인 zsteg를 이용해 보겠습니다.

 

koala.png에서  https://www.mediafire.com/file/0n67qsooy8hcy30/hmmm.txt/fileA 를 찾을 수 있었고

 

koala2.png에서는 passkey : whatdowehavehere라는 문자열을 찾았습니다.

 

그리고  https://www.mediafire.com/file/0n67qsooy8hcy30/hmmm.txt/fileA 해당 URL을 들어가 보면 hmmm.txt 파일을 다운 받을 수 있습니다. 

 

그리고 file 명령을 이용해서 확인을 해보면 다음과 같습니다.

GPG 파일이라고 하고 encrypted data (AES cipher)이라고 적혀 있습니다.

 

GPG는 강력한 암호 프로그램이라고 이야기 합니다.

 

그래도 GPG 는 칼리 리눅스에 내장된 툴이여서 바로 사용해 보면 다음과 같습니다.

 

gpg -d hmmm.txt라고 입력을 해보면 이렇게 Password를 입력하라고 합니다. 

아까 얻은 키값을 넣어 보겠습니다.

 

 

Flag : hsctf{koalasarethecutestaren'tthey?}