-
[ctf-d] A회사 보안팀은 내부직원...2022/Write-Ups 2022. 6. 29. 18:33
3조 김주미
제공된 파일으로부터 유출된 내부문서의 정보를 찾아내는 문제.
확장자가 뜨지 않아서 HxD에 넣어보았는데도 헤더 시그니처가 알 수 없는 배열이었다.
다시보니 확장자가 .001이더라… 디스크 이미지파일을 분할압축한 파일의 일부라서 평범한 방법으로는 오픈하기 어렵다. 디스크 이미지파일에 접근하기 위하여 AccesssData FTK Imager를 사용했다.
AccessData FTK Imager 4.5 : https://accessdata.com/product-download/ftk-imager-version-4-5
FTK Imager Version 4.5
AccessData provides digital forensics software solutions for law enforcement and government agencies, including the Forensic Toolkit (FTK) Product.
accessdata.com
사용법 : https://iforint.tistory.com/80
FTK Imager 사용법 및 복원
FTK Imager 을 이용해서 USB 드라이버의 디스크 이미지를 덤프하고, 해당 디스크 이미지를 분석해보도록 하겠다. 1. FTK Imager 간단 사용법 실습에 앞서 FTK Imager 의 대표적인, 유용한 기능들을 살펴보
iforint.tistory.com
FTK Imager를 사용하여 오픈한 화면.
루트 폴더 하위에는 뭔가의 코드처럼? 보이는 10개의 폴더가 있다. 10개의 폴더 모두 .app, Documents, Library, tmp 디렉토리를 포함하고 있었다. 하위 디렉토리 중에서 CNN-iPhone.app 이라는 폴더가 있던데 아마 직원 스마트폰은 ios를 사용하고 있는 듯? 또 Library 산하의 Cashes 폴더에는 Snapshots이라는 폴더가 전부 존재하는데 모든 폴더의 Snapshots 폴더를 조사한 결과 다음과 같은 사진을 하나 찾을 수 있었다. 누가봐도 dropbox 폴더에 있었으니 아마 저 문서들을 드롭박스로 업로드한 것처럼 보인다.
유출파일로 추정되는 문서의 이름은 S-Companysecurity.pdf 이고, 발견한 디렉토리는 \root\5BB3AF5D-01CC-45D9-947D-977DB30DD439\Library\Caches\Snapshots\com.getdropbox.Dropbox\UIApplicationAutomaticSnapshotDefault-Portrait@2x.png이다. 현재 정리된 키 정보는 2012/12/27&17:53:초_2012/수정시간_S-Companysecurity.pdf_2.1MB인데… 업로드 초와 수정시간을 찾으면 될 듯
이제 정확한 업로드 시각과 수정시간을 찾아야 하는데… 드롭박스는 변경 데이터가 cache.db에 저장된다고 한다. Cache.db를 우클릭으로 추출하고 데이터베이스 오픈 뷰어인 DB Browser for SQLite로 분석해보았다.
DB Browser for SQLite 다운로드 : https://sqlitebrowser.org/
DB Browser for SQLite
DB Browser for SQLite The Official home of the DB Browser for SQLite Screenshot What it is DB Browser for SQLite (DB4S) is a high quality, visual, open source tool to create, design, and edit database files compatible with SQLite. DB4S is for users and dev
sqlitebrowser.org
Cache.db를 드래그하면 다음과 같이 다섯개의 키와 그에 따른 데이터가 나온다. 사진에서는 창 크기 때문에 잘렸었지만 유출된 파일이 있던 폴더의 이름은 tim_folder였다. 그래서 tim_folder의 데이터들을 읽어보는데… 암호화가 되어있어서 그냥 봐서는 알 수가 없었다…
여기서부터 헤맸는데 이 파일은 plist 파일이고 복호화하여 읽기 위해서는 별도의 프로그램이 필요하다는 듯 하다.
(워게임을 풀수록 포렌식 툴만 늘어가는 기분이 든다…)plist파일이란?
OS X, IOS 프로그래밍에 사용되는 객체 직렬화 파일로, 사용자 설정이나 어플리케이션 정보 등이 저장된다.Plist 파일을 열기 위해 Plist Editor 툴을 사용했다.
다운로드 링크 : http://www.icopybot.com/plist-editor.htm
plist Editor - reading and edit plist files for Windows
What is plist Editor Pro? In the Mac OS X and iPhone OS, property list files are files that store serialized objects. Property list files use the filename extension .plist. Mac OS X 10.2 introduced a new format where property list files are stored as binar
www.icopybot.com
List View 창에서 루트를 더블클릭하면 다음과 같이 해독된 창이 새로 열리게 되는데…
양이 무지 많다. 그래서 파일 이름으로 검색했더니 다음처럼 NS.time 두 개와 파일명, 용량 정보가 순서대로 나왔다.
순서가 키 포맷과 일치하니 이대로 입력하면 키가 풀리지 않을까?! 했는데… 시간 정보가 숫자로 되어 있었다. … 운영체제 타임으로 표기된 건가보다…
Dcode: https://www.digital-detective.net/dcode/
DCode™ – Timestamp Decoder - Digital Detective
DCode™ is a FREE forensic tool for decoding data found during digital forensic examinations into human-readable timestamps.
www.digital-detective.net
이 문제를 풀면서 벌써 세 개째 툴이다……….. 다양한 시간 표기를 인/디코딩 하는 툴이다.
오른쪽에 값을 넣으면 왼쪽 창에 다양한 방법으로 디코딩해준다. 업로드 시각은 12월이었는데 5월인 걸 보면 해당 시간은 수정시간에 관한 것으로 유추할 수 있다. 이때 UTC 기본으로 되어있기 때문에 대한민국 시간으로 +9시간 해줘야한다!!!
키 : 2012/12/27&17:55:54_2012/05/01&17:46:38_S-Companysecurity.pdf_2.1MB
해결!
'2022 > Write-Ups' 카테고리의 다른 글
[ctf-d] broken (0) 2022.06.29 [ctf-d] 오른쪽 위의 표지판을 읽을 수... (0) 2022.06.29 [ctf-d] 우리는 이 파일에 플래그를... (0) 2022.06.29 [ctf-d] Find Key(Image) (0) 2022.06.29 [ctf-d] X 회사의 재정 정보를 훔치기... (0) 2022.06.29