[Inc0gnito CTF][Forensic] wh3re_is_my_f149

 

해당문제는 문제보고 1분만에 푼 매우 간단하지만 zip파일 구조를 모르고 있다면 오래 걸리는 문제 입니다.

 

바이너리 파일을 압축 해제 하면 readme.txt와 flag.zip 파일이 있습니다.

readme.txt 을 읽어보면 다음과 같습니다.

 

zip파일에 있는 flag는 거짓 flag이다. 진짜 flag를 찾아라. 라고 적혀 있습니다.

zip 파일안에 있는 flag.txt 를 보면 진짜 가짜 flag가 들어있습니다.

 

flag.zip 파일의 hex 값을 확인하면 다음과 같습니다.

 

대부분의 zip 파일은 50 4B 03 04 ~~~ 50 4B 01 02 ~~~~ 50 4B 05 06~~~~ 의 형태로 존재합니다.

50 4B 03 04 는 ZIP파일 당 1개로 고정 하고 50 4B 01 02 와 50 4B 05 06은 ZIP파일 안에 압축된 파일의 갯수와 일치 합니다.

 

하지만 위의 HEX 사진을 보면 다음과 같이 분류 할 수 있습니다.

50 4B 03 04 가 2개가 있는 것을 확인 할 수 있습니다.

또한 HEX 값에 대한 문자열을 확인해 보면 다음과 같이 2가지의 파일이 존재합니다.

 

flag.txt 는 가짜 flag였으니 f14g.txt 에 flag가 있을 것으로 예상이 됩니다.

 

두번째 50 4B 03 04 부분을 지워서 압축을 열면 다음과 같이 복구를 해야한다고 뜹니다.

 

복구를 진행하면 repair 파일이 나오게 됩니다.

 

 

f14g.txt파일이 있는 것을 확인할 수 있습니다. 

파일을 열어서 확인해 보면 다음과 같습니다.

 

 

Flag : 1nC0{d0_you_kn0w_21p?}