4팀_박윤진 write-ups (ctf-d_호레이쇼가 플래그를 보며...)

여지껏 carving문제는 kali에서 foremost사용하면 거의 다 풀렸으나

이번 문제는 foremost에서 인식하지 못했는데

아마 다른 문제들은

1번파일 시그니처 헤더 - 1번파일 시그니처 푸터

2번파일 시그니처 헤더 - 2번파일 시그니처 푸터

3번파일 시그니처 헤더 - 3번파일 시그니처 푸터

형태로 숨겨져있는 반면

 

이번 문제는

1번파일 시그니처 헤더 - 2번파일 시그니처 헤더 - 3번파일 시그니처 헤더

3번파일 시그니처 푸터 - 2번파일 시그니처 푸터 - 1번파일 시그니처 푸터

형식으로 되어있고 특히 모두 같은 jpg라서 누가 누구의 푸터인지 인식할 수 없었을듯

 

 

1번파일 시그니처 헤더 - 2번파일 시그니처 헤더 - 3번파일 시그니처 헤더

3번파일 시그니처 푸터 - 2번파일 시그니처 푸터 - 1번파일 시그니처 푸터

이렇게 추출하고 끝나버린것일 듯

 

binwalk (binary walk라고 추측중)는 binary를 돌아다니면서

여러 파일의 헤더를 찾아내고 그 위치를 표시해주는 것

TIFF는 일단 무시하고...(뭔지 모르겟음...)JPEG를만 보면 0에 하나(원본파일), B8에 하나, 182에 하나 있음

 

HxD의 열은 맨 끝자리를 나타내므로 위치를 잘 찾아서 보면...

B8에 jpg의 시그니처 헤더인 FF D8 이 있음.

F3으로 다음을 찾아주면 182에도 있을거고

 

우리는 첫번째 싸고있는 막을 벗겨내서 두번째 파일만 카빙할거임

왜냐면 아래와 같은 구조로 되어있어서

1번파일 시그니처 헤더 - 2번파일 시그니처 헤더 - 3번파일 시그니처 헤더

3번파일 시그니처 푸터 - 2번파일 시그니처 푸터 - 1번파일 시그니처 푸터

 

3번 파일을 없애고 2번 파일을 추출하면 2번파일의 데이터가 손실되는것이기때문에.

(즉, 2번파일의 데이터는 2번데이터+3번데이터 여야 완전함)

 

마지막에서 두번째인 푸터(FF D9)까지 복사하면 됨(잘라내기 하면 원본이 손상됨)

이제 안의 FF D8 ~ FF D9까지 복사하고 저장 (CA ~ 697E)

*HxD 아무데서나 오른쪽클릭하고 블록선택하면 더 쉬움..

뒤집혀있는것같으니까 좌우반전

INS{MAGNIFICATION_X100_FOR_STARTERS}

----------------

그리고 칼리에서 썸네일이랑 보여지는 파일이랑 달라서 이거로도 추측 가능

---

exiftool을 사용합니다

이미지, 오디오, 비디오 및 PDF 메타 데이터를 읽고, 쓰고, 조작하기위한 무료 오픈 소스 소프트웨어 프로그램입니다

플랫폼 독립적이며 Perl 라이브러리 및 명령 행 응용 프로그램으로 사용 가능합니다

sudo apt-get install libimage-exiftool-perl

공식홈페이지: exiftool.org/

exiftool 파일

-> 파일의 정보 나옴

썸네일 있는 것 확인하고 적혀있는대로 -b 옵션 쓰기

썸네일 thumbnail

사진의 축소판, 사진을 탐색하면서 알아 보기 쉽게 만들어 주며 그림을 일반 문자열 색인와 같게 취급한다.

비스타 검색 엔진과 그림 관리 프로그램은 현대 운영체제나 데스크톱 환경과 같이 이러한 방식을 보통 사용합니다.

썸네일은 영화나 각종 안내에 대한 빠른 이해도와 색인을 도와주기도 합니다.

 

exiftool -binary -ThumbnailImage (파일이름).jpg > (저장이름).jpg