문제를 보니 주어진 파일을 분석해 플래그를 찾아야 하는 것 같다.
주어진 파일을 열어보면, 아무런 확장자 없는 파일이 하나 나온다.
확장자가 없다는 것 이 아마 큰 힌트가 될 것이라고 생각이 든다!
.
가장 첫번째로, HxD에 넣어서 내용을 확인해보았다.
HxD는 Window용 16진 편집기로, 그냥 무료 헥스 에디터 프로그램이다.
아래 사이트에서 사양에 맞게 다운 받을 수 있다
HxD - Freeware Hex Editor and Disk Editor | mh-nexus
HxD - Freeware Hex Editor and Disk Editor HxD is a carefully designed and fast hex editor which, additionally to raw disk editing and modifying of main memory (RAM), handles files of any size. The easy to use interface offers features such as searching and
mh-nexus.de
.
HxD 에디터를 실행한 뒤, flag 파일을 열어보면 아래와 같은 결과를 볼 수 있다.
여기서 Decoded text에서 바로 플래그를 발견할 수 있기를 바랬지만 아쉽게도 없었다.
.
두번째로는 flag파일의 확장자가 없다는 것에 집중해서, 파일 시그니처 부분을 확인 해보았다.
파일 시그니처란, 파일의 내용을 식별하거나 확인하는데 사용되는 데이터로, 우리가 쉽게 볼 수 있는 예로는 jpg, png, zip 등이 있다. 더 자세한 설명은 다음 내용에 나오는 사이트에서 확인 할 수 있다.
우선, 헤더 시그니처의 비율이 높기 때문에, flag 파일의 처음부분(노란색 형광펜 처리)을 확인해보았다.
아래 사이트는 파일 시그니처(헤더 시그니처만)를 정리해 둔 사이트이다.
Ctrl+f를 열심히 두들겨 가며 1F 8B 08 08은 어떤 파일인지 찾아보자.
http://forensic-proof.com/archives/300
파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF
forensic-proof.com
1F 8B 08까지만 치니까 GZ 파일 타입을 의미하는 시그니처 하나가 나왔다.
flag 파일의 확장명은 .gz 였던 것이다!
.
다시 flag 파일이 있는 폴더로 돌아가 flag 파일의 이름을 flag.gz 으로 수정해준다.
그리고 flag.gz 파일의 압축을 풀어준 뒤, 다시 ExD 에디터로 flag 파일을 열어보았다.
압축풀기는 그냥 반디집을 사용했다.
아까와는 다르게 Decoded text에서 우리가 찾던 플래그값, ABCTF{broken_zipper} 을 찾았다!
성공!!
'디지털 포렌식(Digital Forensics) > CTF(ctf-d.com)' 카테고리의 다른 글
| [Network] DefCoN#21 #4 -실패 (2) | 2020.07.11 |
|---|---|
| [Network] DefCoN#21 #3 (8) | 2020.07.05 |
| [Multimedia] e_e (0) | 2020.06.15 |
| [Network] DefCoN#21 #1 (3) | 2020.06.15 |
| [Disk] 이벤트 예약 웹사이트를 운영하고… #A (2) | 2020.06.07 |
댓글