티스토리 뷰

2016 CSAW CTF Quals



Forensic - Clams Don’t Dance



Exercise


조개를 찾아 진주를 열어라,,





Solution


img 파일을 하나 다운 받을 수 있다. FTK Imager 를 통해서 img 를 살펴보면, FAT 시스템 USB 를 덤프 뜬 것으로 확인할 수 있는데, Unallocated 영역에서 아래와 같이 PK 확장자를 가진 삭제된 파일을 확인할 수 있었다.






해당 파일을 복구 시켜 보았다. 내부를 살펴보니, PPT 임을 알 수 있었다. pptx 로 확장자를 변환하고 열어보기도 하고, 압축을 풀어서 내부 데이터를 확인해 보기도 했다.




내부에 있는 ppt 폴더 내에 media 라는 폴더 안에서 아래와 같이 ppt 에 사용된 것으로 보이는 이미지 파일들을 확인할 수 있었다. 하지만 아래 있는 image0.gif 파일은 pptx 를 직접 열어 슬라이드를 확인해 보아도 없었던 이미지라 수상스러웠다. QR code 같은 것으로 추정된다. QR code 형태가 아니라, 인식이 제대로 되지 않았다.






해당 이미지에 대한 정보를 얻기 위해 구글 이미지 검색을 했고, 아래와 같이 DATA Matrix 란 것임을 확인할 수 있었다.







온라인에서 data matrix decode 를 찾아서 decoding을 수행하면 아래와 같은 flag 를 확인할 수 있다.


댓글
댓글쓰기 폼