[RC3CTF][Forensic] Breaking-News

Breaking-News 300

Breaking-News 문제를 접하면 다음과 같은 파일을 얻을 수 있습니다. Forensics-300.tar.gz

파일을 열어보면 zip 파일 안에 zip이 또 있고 안에 들어있는 txt파일을 확인해 봐도 뭘 얻을 수 없습니다.

 

Hex값을 확인 하던 중 몇몇 파일에 희한한 문자열이 있다는 것을 확인 하였습니다.

위의 파일은 Chapter0.zip 파일의 Hex 값인데 대부분 zip 파일은 00 00 으로 끝나기 마련 이다.

하지만 Chapter4.zip을 확인해 보면 다음과 같다.

이처럼 55 6B 4D 4B 가 들어가 있다.

UkMK 라는 이상한 문자열이 있는데 이런 문자열 들이 있는지 스크립트 코드를 작성해서 확인해 봐야 할 것 같다.

 

 

os.listdir(path) : 해당 경로에 존재하는 파일과 디렉터리 리스트를 반환

os.getcwd() : 현재 작업 디렉터리의 위치를 가져올 때 사용

binascii.hexlify("입력값") : 문자열은 hex값으로, hex값은 문자열로 변환

 

코드를 실행 하면 다음과 같은 문자열이 출력됩니다.

Base64 인코딩된 문자열 인 것 같습니다.

위의 코드를 9번째 줄에서 base64 디코딩을 바로 할 수 있도록 코드를 수정해 보겠습니다.

 

이처럼 출력을 할 수 있기 때문에 Chapter순서대로 연결을 해보면 Flag를 얻을 수 있습니다.

 

Flag : RC3-2016-DUKYFBLS