<문제>
문제에서 이 파일을 열 수 없다고 하고,
Hint에서는 무언가 빠진 것 같다고 한다.
문제를 푸는데 필요한 힌트를 잘 숙지하고 secret 파일을 다운로드하였다.
다운로드를 완료한 뒤 파일을 확인해보니,
파일에 확장자가 없다는 것을 알 수 있었다.
그리하여 헥스에디터(hxd)를 사용하여 파일을 열어보았다.
*헥스에디터(Hex-editors, hxd) : 바이너리 파일을 분석하거나 수정할 때 사용
.exe, .dll, 확장자가 없는 파일을 분석할 때 사용하여
그 바이너리 파일의 헤더를 보고 어떤 종류의 파일인지 분석
- 헥스에디터 다운로드 사이트
https://mh-nexus.de/en/downloads.php?product=HxD20
Downloads | mh-nexus
Downloads Note: Starting with HxD 2.3, the portable edition is available as separate setup program, and can be run with minimal privileges (no admin rights required). For the portable edition, the setup program writes only into the selected folder (e.g., U
mh-nexus.de
해당 파일이 확장자가 없는 관계로 파일 시그니처 부분을 확인해보았다.
*파일 시그니처(File Signature) : 파일들의 포맷의 기본이 되는 내용
즉 확장자를 표현 ex) .jpeg, .png, .gif, .egg
50 4B 03 04를 가진 파일의 확장자를 알아내기 위해
해당 사이트를 참고하여 찾아낸 결과,
http://forensic-proof.com/archives/300
파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF
forensic-proof.com
해당 파일의 확장자가 .zip, .docx, .pptx, .xlsx 등등 많다는 것을 알 수 있었다.
본인은 간단하게 .zip으로 변경하기로 결정하였다.
주어진 파일을 zip파일로 변경한 후 압축을 풀어보았다.
압축을 풀었더니 secret.png 파일이 나왔다.
그래서 문제에서 얘기한 비밀 사진을 확인할 수 있겠구나 생각하고
파일을 열어보았다.
그러나 예상과는 다르게
secret.png 파일 형식은 지원이 되지 않는 것 같다는 문구가 나왔다.
그래서 파일에 무슨 문제가 있는지 분석하기 위해
secret.png 파일을 hxd를 통해 열어보았다.
해당 파일의 확장자가 png니까
파일의 시그니처도 png를 가리키고 있는지 확인해보았다.
PNG의 파일 시그니처는 89 50 4E 47 0D 0A 1A 0A인데,
현재 secret.png의 파일 시그니처는 0D 0A 1A 0A이므로,
secret.png에서 앞부분 4Byte(89 50 4E 47)가 빠져있다는 것을 알 수 있었다.
("문제의 Hint : 무언가 빠진 것 같습니다"는 이를 말하는 것 같다.)
그리하여 Edit > Insert bytes를 이용하여 89 50 4E 47를 추가하였다.
성공적으로 파일의 시그니처를 바꾸고 이를 저장한 후,
secret.png를 다시 열어보았다.
이제야 이미지 파일이 잘 열린다는 것을 확인하였고,
여기에서 플래그값을 발견하였다.
Key=easyctf{troll3d}
문제 해결!
'Forensics 풀이 > [DigitalForensic]with CTF' 카테고리의 다른 글
| Multimedia #24-조수의 차이만큼 하얗습니다!:D100 (0) | 2020.06.14 |
|---|---|
| Multimedia #12-이 파일에서 플래그를 찾아라!100 (0) | 2020.06.12 |
| Multimedia #4-우리는 이 파일에 플래그를...100 (0) | 2020.06.08 |
| Multimedia #3-사진 속에서 빨간색이...100 (0) | 2020.06.08 |
| Multimedia #1-제 친구의 개가 바다에서...100 (0) | 2020.06.08 |
