-
SuSeC CTF 2020 write up$ Capture The Flag $ 2020. 3. 23. 10:54
Forensic
Little
해당 문제의 첨부 파일을 확인해 보면 아래와 같이 little.img_hash값 파일에서 little.img 파일을 추출 할 수 있습니다.
little.img 파일을 HxD 로 열어보면 mkfs.fat 파일 시스템의 VBR을 확인 할 수 있습니다.
이제 해당 파일이 디스크 이미지 파일이라는 것을 알 수 있기 때문에 FTK Imager 로 열어 볼 수 있습니다.
secondf.png 파일이 있는 것을 알 수 있습니다.
해당 파일을 확인해 보면 중간 Flag를 알 수있습니다.
Flag2 : t0_7h3_3nd_0f_ 를 찾았습니다.
이제 나머지 Flag를 찾아야 하는데 FTK Imager 에서 확인 할 수 없습니다.
또한 binwalk를 통해서도 파일 카빙이 되지 않습니다.
little.img 파일을 확인해 보면 png 파일 이후에 firstf.ogg 라는 파일이 있다는 것을 알 수 있습니다.
0x105C00 을 확인해 봤을때 KGB_arch(4B 47 42 5F 61 72 63 68) 라고 적혀 있는데 이 값은 kgb file header signature를 의미 합니다.
0x105C00 ~ 0x135B30 을 카빙 하면 될 것 같습니다.
해당 파일을 KGB Archiver 2 툴을 이용해서 확인해 보겠습니다.
firstf.ogg를 추출해서 들어보면 음성으로 Flag를 알려 줍니다.
Flag1 : c0me_wi4h_f4g_m4n_ 를 찾았습니다.
little.img에서 마지막으로 thirdf.mp4 라는 문자열을 확인 할 수 있습니다.
mp4 시그니처인 ftypmp42 를 확인해 보면 아래와 같습니다.
mp4 파일의 시작은 0x41E000 라는 것을 확인 할 수 있습니다.
mp4 파일은 binwalk로도 카빙이 안되기 때문에 ogg 파일과 같이 직접 카빙을 해야하는데 어디가 파일의 끝인지 알수 없습니다.
mp4 file structure 를 확인해 보면 특정 시그니처 앞 4바이트가 해당 시그니처의 사이즈가 됩니다.
위의 ftypmp4 시그니처의 크기는 0x20로 아래와 같습니다.
0x20 이후에 바로 free 시그니처가 나오기 때문에 0x576 Size가 free의 Size입니다.
이번에는 mdat 시그니처가 나오기 때문에 0xCAB2가 크기 입니다.
이번에는 moov 시그니처가 나옵니다. 해당 시그니처의 사이즈는 0x500 입니다.
이후에 시그니처가 없기 때문에 0x42B047 까지가 thirdf.mp4 파일입니다.
0x41E000~0x42B047 을 카빙하면 MP4 파일을 얻을 수 있는데 windows 기본 영상 프로그램에서는 아래와 같이 인식을 하지 못합니다.
mp4 Viewer 프로그램인 File Viewer를 이용해서 확인해 보면 Flag를 획득 할 수 있습니다.
Flag3 : t4i3_sUsEc_journey} 를 얻었습니다.
전부다 이어보면 아래와 같습니다.
Flag : SUSEC{c0me_wi4h_f4t_m4n_t0_7h3_3nd_0f_t4i3_sUsEc_journey}
'$ Capture The Flag $' 카테고리의 다른 글
Securinets-2K20 PreQuals CTF write up (18) 2020.03.23 angstrom CTF 2020 write up (0) 2020.03.15 zer0pts CTF 2020 write up (0) 2020.03.12 UTCTF 2020 write up (0) 2020.03.09 2020 NEWSECU CTF write up (5) 2020.02.23