[ctf-d] 저희는 이 문서를 찾았습니다.

개론 3팀 김주미

해당 첨부파일을 다운받아 열어보면 다음처럼 당신이 찾는 플래그가 아니라는 문장 외에는 아무것도 들어있지 않다.

첨부파일(docx) 오픈 화면

파일의 속성탭을 확인해봐도 이상한 점은 없었고,

힌트인 'docx 파일이 정확히 무엇입니까?'라는 문장에서 파일 시그니처를 떠올렸다.

 

파일 시그니처란? 

 파일은 파일 자체로는 의미가 없다. 파일이 담고 있는 데이터를 유용하게 사용하기 위해서는 관련된 소프트웨어가 필요하다. 이러한 소프트웨어들은 각각 자신만의 고유한 파일 포맷을 만들어 사용한다. 따라서 어떤 파일을 읽을 수 있다면(혹은 실행할 수 있다면) 해당 파일 포맷을 해석할 수 있다는 의미이다. (텍스트 파일 제외)

 그림 파일(JPEG, PNG, TIFF, GIF 등) 또한 파일 포맷 별로 고유한 포맷을 가지고 있다. 알씨와 같은 그래픽 뷰어 소프트웨어를 통해 해당 파일을 볼 수 있는 이유는 알씨 소프트웨어에서 각 그림 파일 포맷을 해석할 수 있도록 프로그래밍되어 있기 때문이다.

이처럼 파일들은 각각 고유한 포맷을 가지고 있는데 포맷의 기본이 되는 내용이 파일 시그니처(File Signature)이다.

출처 : http://forensic-proof.com/archives/300

파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF

 

PEview 실행 화면

 파일 포맷을 명시하는 파일 시그니처는 첫 바이트로, 해당 파일에서는 '50 4B 03 04 14 00 00 08'임을 확인할 수 있다.

 

출처 :  http://forensic-proof.com/archives/300

다만 docx 파일 확장자의 파일 시그니처는 50 4B 03 04 14 00 06 00으로 정확하게 일치하지는 않았다. (50 4B 03 04까지도 docx의 파일 시그니처로 인정하기도 한다.) 

 

출처 : https://blog.solaris.co.kr/36

docx와 같이 파일 시그니처로 50 4B 03 04 를 사용하는 것중에는 .zip 확장자도 있기 떄문에 해당 파일의 확장자를 .zip으로 변경해주었다.

 

zip 확장자로 변경 뒤 오픈한 화면

다음과 같이 .zip 확장자로 변경하여 압축을 풀었을 때 정상적인 파일을 찾을 수 있었고 그 안에서 flag.txt의 내용을 입력하여 문제를 해결했다.

key :this_would_be_the_flag_you_are_looking_for