티스토리 뷰

2016 CSAW CTF Quals



Forensic - Evidence



Exercise


CSAW CTF의 지속적인 노력의 일환으로 zip 파일에 유죄 증거를 직접 찾기로 했다. 무슨 일이 있었는지 모르겠지만, 나는 증거가 실제로 거기에 그것을 만들었을 것이라고 생각하지 않는다??...





Solution


압축 파일을 받을 수 있다. 내부엔 12개의 파일이 있고, 압축 해제 하려고 하면, 아래와 같이 오류가 나는 것을 확인할 수 있다. 정상적으로 압축 해제가 불가능하다.




zip 임에도 압축 해제가 불가능한 방식이라는 메세지를 띄우는 것으로 보아, CRC 값이나 내부적으로 구조가 잘못되었음을 유추할 수 있다. 010Editor 를 이용해서 해당 zip file 을 열어 보았다.



위에서 확인해보면, 각 압축 파일 별로 PK 라는 시그니처를 하나씩 더 가지고 있는 것을 확인할 수 있으며, 빨간 박스로 체크 했는 부분에 Flag 를 뒤집어 놓은 galf 란 문자열을 확인할 수 있었다. 이후, 나오는 각 파일 별 해당 위치 4byte 에서 flag 의 부분 문자열로 보이는 데이터 값을 뒤집어서 표현한 것을 알 수 있었다. 각 data 를 가지고 다시 원래대로 풀어 보면 아래와 같은 flag 를 확인할 수 있다.


flag{th3_vi11i4n_w3_n33d_#freeleffen}

댓글
댓글쓰기 폼