[ctf-d] 누군가 부정행위를 했다는...

1팀 김나연

 

 

zip 파일을 열어보자.

압축해제를 하려고 하니까 용량이 부족하고

압축 알고리즘이 이상하다는 문구가 나왔다. 

복구를 클릭하니 아래 파일들이 나온다. 

 

다 확장자가 없는 파일들이다.

 

모든 게 망가졌다고 했으니 혹시 수정할 게 있는지 hxd로 열어봤다. 

 

50 4B 03 04 

ZIP 파일의 헤더 시그니처가 맞다. 

50 4B 05 06

Zip 파일의 푸터 시그니처다. 

 

압축파일을 풀 수도 없고...

hxd로 ZIP파일 구조를 분석해야 하나 싶었다

 

ZIP파일 구조를 분석해보자

 

ZIP 파일 구조

 

End of Central Directory 정보
Singature	"0x06054B50"
Disk Number	0
Disk # w/cd	0
Disk entries	13(0D)
Total entries	13(0D)
Central directory size	1040(04 10)
Offset of cd wrt to starting disk	5618(15 F2)
Comment len	0
ZIP file Comment	NULL

CD Offset의 시작은 15 F2이다. 

이 부분으로 가보자. 

 

Central Directory File header의

Signature값인 0x504B0102가 있다.

 

여기서부터 Central Directory File header의 시작임을 알 수 있다.

Central Directory File header offset 위치별로 나누어보았다. 

Central Directory File header 정보
Singature	"0x02014B50"
Version	0C 2D
Vers.needed	00 9A
Flags	0
Compression	00 A9
Mod time	30 22
Mod date	01 41
Crc-32	66 6C 61 67
Compressed size	FF FF FF FF

Central Directory File header 정보
Uncompressed size	FF FF FF FF
File name len	00 0E
Extra field len	00 14
File comm.len	0
Disk #start	0
Internal attr.	0
External attr.	01 80
Offset of local header	0
File name (variable)

Central Directory File header 정보
Extra field(variable)
File comment(variable)

offset of local heade까지는 고정적인 데이터

 

그런데 signature값 뒤부터 version 정보들을 hex값으로 찾아봤을 때 일치하는 

version, vers.needed, flag값...등을 찾을 수 없었다. 

더군다나 compressed size, uncompressed size가 다 FF이며 

아래 Central Directory File header도 compressed size, uncompressed size가 다 FF다.

 

그러던 중 galf가 뭐지...하다가 뒤집어 읽으니 flag였다. 

CRC부분에 해당하는 문자값을 나열하면 flag일까 싶어 나열해보았다.

flag{th3_vi11i4n_w3_n33d_#freeleffen}

 

vili4n인줄 알았는데 vi11i4n이었다