[ctf-d] 플래그를 찾아라!

2팀 김민주

문제를 풀기 위해 첨부된 파일을 다운 받았다.

해당 파일의 압축을 풀었더니 다음과 같은 사진이 있었다.

png 파일을 들어갔지만 오른쪽과 같은 화면이 뜨면서 열리지 않는 것을 확인할 수 있었다.

따라서 압축 파일의 속성을 확인해 보았더니, lzma 파일임을 알 수 있었다.

 

구글링을 통해 LZMA (Lempel-Ziv-Markov chain Algorithm)은 7-Zip 및 기타 파일 아카이버에서 사용하며 bzip2 ( .BZ2 파일)보다 빠른 압축률 및 빠른 압축 해제로 알려져 있다는 것을 알았다. 또한 dump1.raw 파일의 이름과 확장자가 메모리 덤프 파일이 연상되어 vilatility를 이용해 분석해 보았다.

여기에서 PID 값이 4092인

해당 라인을 통해 이 파일이 그림판을 거쳐갔다는 것을 알았다.

덤프 된 프로세스를 gimp2에서 분석하기 위해 확장자를 data로 수정하고 열어주었다.

플래그에 관한 문자열이 보일 때까지 속성 값을 조절하여 해당 사진을 얻을 수 있었다.

해당 플래그 값을 넣어 문제를 풀었다.