[Forensic] Entangled

대회에서는 다풀지 못했지만 5%정도 접근 못하고 틀린것 같아 매우 마음이 아프네요 ㅠㅠ

 

문제를 열어보면 다음과 같은 img 파일이 있습니다.

 

FTK Imager을 이용해서 파일을 열어보면 다음과 같은 트리구조를 확인 할 수 있습니다.

 

 

[root]를 export 해보겠습니다.

 

private에는 fake flag가 있습니다.

 

instructions.txt를 확인해 보겠습니다.

암호화 된 데이터가 바로 flag.enc 인것 같습니다.

 

문제는 flag.enc를 복호화 하는것 같은데 복호화를 하기 위해서는 key값이 필요합니다.

 

의심스러운 파일인 free_fortnite_H4CKZ_run_me 파일은 실행파일입니다.

 

IDA로 한번 열어보겠습니다.

 

3개의 함수중에서 2개는 디컴파일이 되지만 딱 1개만 디컴파일이 되지 않습니다.

 

 

그래프로 한번 확인해 보겠습니다.

 

 

qrcode로 보이는 모양을 띄고 있습니다.

 

인증을 해보면 Cool_pass02 가는 문자열을 출력합니다.

 

해당 문자열을 key라고 생각하고 decrypt를 해보겠습니다.

 

openssl.exe enc -d -aes-128-cbc -in flag.enc -out flag.png -k Cool_pass02 명령어를 입력!

 

Flag : TIMCTF{c0de_oR_DAR4_tHe_uLtlmAtE_qUesti0n}