-
[ctf-d] A회사 보안팀은 내부직원...2022/Write-Ups 2022. 6. 28. 16:20
1팀 김나연
A 회사 보안팀은 내부직원... 이미지 마운트가 뭐지...?
ftk imager 사용법
https://iforint.tistory.com/80
FTK Imager 사용법 및 복원
FTK Imager 을 이용해서 USB 드라이버의 디스크 이미지를 덤프하고, 해당 디스크 이미지를 분석해보도록 하겠다. 1. FTK Imager 간단 사용법 실습에 앞서 FTK Imager 의 대표적인, 유용한 기능들을 살펴보
iforint.tistory.com
ftk imager evidence.001 압축을 풀었는데도
확장자가 없는 image 파일 같은 것이 나와서
ftk imager로 열어보았다.
직원의 스마트폰은 iphone임을 알 수 있다.
Dropbox.app이라는 익숙한 이름이 보인다.
여기 파일들마다 --.app이라는 폴더가 있다.
휴대폰에 설치된 앱들의 폴더인 거 같다.
모두 나열해서 어떤 앱들이 설치되어있는지 확인한다.
Weather.app
CGV2.app
CNN-iphone.app
Podcasts.app
Dropbox.app
WebViewService.app
HousekeepingLog.app
MyPainting.app
HarooNotes.app
dayalbumlite.app
총 10개의 앱 폴더를 발견했다.
여기서 외부로 업로드하는데 사용될만한 앱은
Dropbox.app인 거 같다.
Dropbox.app 아래의 모든 폴더와 파일들을 열어보면서 찾던 중
UIApplicationAutomaticSn...파일을 찾았다.
해당 사진 파일을 열어보니
tim_folder안에 있는
S-Companysecurity.pdf라는 누가봐도 flag와 관련있는 것처럼 보이는 힌트가
있었다.
보안 직원은 이 파일을 공유했다는 것을 알 수 있었다.
일단 이 사진에 나오는 파일의 시간을 적어놓자.
2012.12.27 오후5:55
이 파일을 공유한 시간을 찾기 위해서
com.getdropbox.Dropbox 폴더 안의
Cache.db를 추출해보자.
Cache.db 파일 선택 -> File -> export file
cache.db cache.db에는
아까 찾았던 S-Companysecurity.pdf파일이 있는
tim_folder의 데이터가 있었다.
이 데이터의 내용을 sublimeText3로 옮겨서 보자
dbmetadata/tim_folder의 데이터 데이터 형식이 plist같은데
plist가 무엇일까..?
what is plist file?
A plist file is a setting file, also known as a property list file, used by macOS. It contains properties and configuration settings for various programs and bundles together with them. Property list files use the filename extension .plist and thus are often referred to as plist files.
Plist files are formatted in XML and are typically encoded using the Unicode UTF-8 encoding. The property files can be saved in text or binary format. Thus, to open and modify a plist file, you need a program that is supported to read binary and XML files.
A PLIST file is a settings file used on Apple operating systems, also known as "Property List" file. PLIST file is widely used by iOS apps and macOS applications. macOS provides several ways to open and view PLIST file, for example xcode and "Property List Editor". But there is no such program to view plist file on windows. iBackup Viewer offers a free utility tool to view binary and xml PLIST files, also provides a simple HEX viewer to view binary data value of the plist file. Please follow these steps to open plist file on Windows.아래 링크의 plist viewer를 설치해서 db의 데이터를 열어보자.
http://www.icopybot.com/plist-editor.htm
plist Editor - reading and edit plist files for Windows
What is plist Editor Pro? In the Mac OS X and iPhone OS, property list files are files that store serialized objects. Property list files use the filename extension .plist. Mac OS X 10.2 introduced a new format where property list files are stored as binar
www.icopybot.com
dbmetadata/tim_folder의 데이터 내보내기를 통해 data를 plist파일로 내보내준다.
plist Editor 
plist Editor plist Editor로 파일 불러오기 -> List View 클릭 -> Root 클릭하면 Plist view로 볼 수 있는 화면이 나온다.
S-Companysecurity.pdf 파일을 검색 S-Companysecurity.pdf 파일 관련 내용을 찾기 위해서 Ctrl+F으로 검색
S-Companysecurity.pdf NS.time 시간 정보 378291354.000000
NS.time 시간 정보 357554798.000000
S-Companysecurity.pdf NS.string 크기 정보 2.1MB
를 찾을 수 있었다.
시간 정보를 Decode하기 위해
Timestamp Decode 툴인
DCode를 다운로드 한다.
https://www.digital-detective.net/dcode/
DCode™ – Timestamp Decoder - Digital Detective
DCode™ is a FREE forensic tool for decoding data found during digital forensic examinations into human-readable timestamps.
www.digital-detective.net
DCode로 Timestamp를 디코딩한다.
위의 ftk imager로 분석하면서 사용자의 휴대폰은 iphone이었으므로
Apple Absolute Time시간으로 변환한다.
Upload 시간: Apple Absolute Time 2012-12-27 17:55:54.0000000 +09:00
Modified 시간: Apple Absolute Time 2012-05-01 17:46:38.0000000 +09:00
File size: 2.1MB
Answer: 2012/12/27&17:55:54_2012/05/01&17:46:38_S-Companysecurity.pdf_2.1MB
'2022 > Write-Ups' 카테고리의 다른 글
[ctf-d] 저는 당신의 생각을 알고 있습니다. (0) 2022.06.28 [ctf-d] 저희는 이 문서를 찾았습니다. (0) 2022.06.28 [ctf-d] 윈도우 작업 관리자에서 우클릭... (0) 2022.06.28 [ctf-d] 오른쪽 위의 표지판을 읽을 수 ... (0) 2022.06.28 [ctf-d] 사진 속에서 빨간색이... (0) 2022.06.28