본문 바로가기

디지털포렌식 with CTF

(91)
[멀티미디어 포렌식] Find Key(moon) 문제에서 png 파일 하나를 줍니다. 열어보겠습니다. 달 사진 이외의 정보는 찾아볼 수 없습니다. binwalk 프로그램으로 분석해 보겠습니다. 문제에 숨겨진 flag.txt라는 파일을 발견하였습니다. foremost 프로그램으로 파일을 추출해 보겠습니다. 추출한 output 폴더에서 zip 폴더에 00000804.zip 압축파일이 존재합니다. 압축 파일을 풀려면 비밀번호가 필요한데, 파일의 제목인 moon이었습니다. 파일을 압축 해제하면 flag.txt가 존재하고, 이 안에 flag가 들어있습니다.
[멀티미디어 포렌식] flagception 문제에서 png 파일 하나를 줍니다. 이를 열어보겠습니다. 별다른 힌트는 없어보입니다. 플래그를 깃발에 넣었다고 하니 stegsolve 툴을 돌려보겠습니다. Red plane 1에서 이상한 부분이 발견됩니다. 정확한 분석을 위하여 그림판으로 확대해 보겠습니다. 그림판의 격자 기능을 통하여 확인해보니 바이너리 코드를 흑과 백으로 표시한 것으로 확인됩니다. white는 0, black은 1로 설정하고 바이너리 값을 추출해 보겠습니다. 01000010 01001001 01010100 01010011 01000011 01010100 01000110 01111011 01100110 00110001 01100001 01100111 01100011 00110011 01110000 01110100 00110001 00..
[멀티미디어 포렌식] black-hole 문제에서 jpg 확장자의 이미지 파일 하나를 줍니다. base64 형식으로 인코딩 된 플래그가 있다고 합니다. 플래그를 base64 형식으로 인코딩 했으므로 KEY format인 BITCTF를 base64 형식으로 인코딩해보겠습니다. QklU... 라는 문자열이 나옵니다. 이제 forensically 온라인 툴로 이미지에 담긴 flag를 찾아보겠습니다. QklU로 찾아보니 해당하는 문자열을 발견할 수 있습니다. 위 문자열을 base64로 디코딩해 보겠습니다. flag를 구할 수 있습니다.
[멀티미디어 포렌식] Find Key(Image) 문제에서 png 파일을 하나 줍니다. 열어보겠습니다. 일반 이미지가 나오는데, 배경이 살짝 자글자글거리는 걸 확인할 수 있습니다. 분석을 위해 다운받아 windows 사진 뷰어로 보니 배경의 색이 변하였습니다. 흰색과 검은색이 불규칙하게 이어져 있는데, 아마도 흰색은 0, 검은색은 1을 나타내는 2진 코드인 것 같습니다. 01010011 = 53 00110100 = 34 01001110 = 4E 01001000 = 48 00110000 = 30 숫자가 아마 아스키코드를 의미하는 것 같으니 변환해 보니 S4NCH0라는 문자열이 나옵니다. 문제의 힌트에서 md5가 적혀있으니 S4NCH0를 md5로 변환하면 될 것 같습니다.
[멀티미디어 포렌식] Listen carefully!! 문제에서 flac 파일 하나를 줍니다. 열어보면 영어로 된 음성이 출력됩니다. 먼저 Audacity 툴로 오디오 파일을 열어보겠습니다. 파형에는 별다른 정보가 없습니다. 스펙트로그램으로 변환해 보겠습니다. 스펙트로그램으로 변환하고, 주파수를 쭉 줄여보니 파형 위에 flag가 숨겨져 있었습니다.
[멀티미디어 포렌식] 답을 찾기 위해 돋보기를 써라! 문제에서 html 파일 하나를 줍니다. 열어보겠습니다. 위와 같이 QR코드를 줍니다. QR 코드 스캐너로 읽어보겠습니다. flag를 구할 수 있습니다.
[멀티미디어 포렌식] 오른쪽 위의 표지판을 읽을 수... 문제에서 png 파일 하나를 줍니다. 열어보면 blur 처리된 이미지 파일이 존재합니다. smartdeblur 툴을 사용해서 복구해보겠습니다. Radius 값과 Smooth 값을 조정하니 답을 구할 수 있었습니다.
[멀티미디어 포렌식] 거래 조건 알고 있잖아요? 문제에서 jpg 파일을 하나 주는데, 열리지 않습니다. hxd로 열어보겠습니다. 확인할 수 없는 시그니쳐가 나옵니다. 시그니쳐가 손상된 것 같으므로 jpg 파일의 시그니쳐로 바꿔 보겠습니다. flag를 구할 수 있습니다.
[멀티미디어 포렌식] 조수의 차이만큼 하얗습니다! :D 문제에서 png 파일을 하나 줍니다. 문제 제목을 보니 바로 stegsolve 툴을 사용해 보겠습니다. flag를 구할 수 있습니다.
[멀티미디어 포렌식] 저희는 이 문서를 찾았습니다. 문제에서 file.docx 파일을 주는데, 파일이 열리지 않습니다. hxd로 열어보겠습니다. 파일 시그니쳐가 zip 확장자 시그니쳐로 확인됩니다. 확장자를 바꾸고 압축을 풀어보겠습니다. 압축된 파일에 flag.txt가 존재하고, 안의 내용에서 flag를 구할 수 있습니다.