3팀_김소희_Write-Ups (HackCTF-Let'S get it ! Boo*4 / xcz.kr-File Deleted)

1. [HackCTF - Forensics파트] Let'S get it ! Boo*4

 

 

 

 문제를 클릭하면 아래와 같은 화면이 나온다.

 

파일을 다운받으면 drop_the_bit.bmp파일이 나온다.

 

 

 

제목을 잘보면 이상한 부분을 찾을 수 있는데

대문자 부분만 모아보면 LSB가 된다.

 

LSB란 Least Significant Bit의 약자로서

하나의 데이터 형에서의 가장 낮은 위치의 Bit를 의미한다.

https://blog.naver.com/ansdbtls4067/220886567257

 

 

 

 

 

 

 

LSB 스테가노그래피 툴 중 stegsolve.jar을 다운받아 사용하였다.

(자바가 깔려있어야 함)

https://ddang-9.tistory.com/31

 

 

다운받은 위치의 경로가 적혀있는 곳에

java -jar Stegsolve.jar를 쳐서 stegsolve.jar를연다.

 

 

 

 

 

 

[Analyse]-[Data Extract]를 열어 아래와 같이 설정한다.

 

 

그리고 Preview를 누르고 Save Text로 나오는 코드들을 저장한다.

 

 

조금 편하게 보기 위해 Sublime Text에디터를 사용하였다.

검색 기능으로 플래그를 찾아냈다.

HackCTF{0U].B10C0xCDA90xBD840xD7880d.8AC000H.8CE580xC7880xB2940xC8740xC7AC0v.8C57C}

 

괄호안을 보면 0x가 반복되는것을 보아 16진수인 것을 알 수 있다.

 

 

 

 

 

 

16진수를 유니코드로 바꾸었더니 플래그가 나왔다.

(0x를 지우고 네글자씩 끊어서 적었다.)

https://www.rapidtables.com/convert/number/hex-to-ascii.html

 

 

Flag : HackCTF{넌충분히가치있는존재야}

 

 

 

작성하기 전 미리 풀어봐서 이미 해결한 문제라고 나옴

 

 

 

 

 

 

 

 

 

 

 

 

 

2. [xcz.kr - Forensics파트] File Deleted

 

 

 

 문제를 클릭하면 아래와 같은 화면이 나온다.

 

 

파일을 다운받은 후 포렌식 툴인 FTK Imager를 사용하여 열었다.

Recent안에 s3c3r7.avi.lnk라는 수상한 파일이 있다.

 

 

 

 

s3c3r7.avi.lnk파일을 FTK Imager에서 추출하여 분석하였다.

 

 

 

 

원본경로는 밑에 코드들이 있는 곳에서 찾을 수 있었다.

H:\study\s3c3r7.avi

 

 

 

 

만들어진 시간, 마지막 실행 된 시간, 쓰인 시간, 볼륨 시리얼을 

LNK Parser를 사용하여 찾았다.

http://forensic.korea.ac.kr/tools.html

 

2013/10/16 13:52:10

2013/10/16 23:24:50

2013/10/16 19:37:47

D0A8-02A9

 

 

 

 

 

 

 

lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))

lowercase(md5(H:\study\s3c3r7.avi_20131016135210_20131016232450_20131016193747_D0A8-02A9))

 

여기서 md5를 해주면

 

 

 

Flag : 66f67cd42c58763fd8d58eed6b5bfdba