[ctf-d] X 회사의 정보를 깨...

1팀 김나연

 

 

FTKImager로 열어봤다. 

user목록들이 보이는데

proneer가 cfo인 거 같다. 

 

 

재무 자료, Excel파일, 응용 프로그램 등의 단어가 적혀있었으니

Microsoft 폴더를 위주로 봤다. 

 

Users/proneer/AppData/Roaming/Microsoft/Office/Recent

경로에서 

[Top-Secret]_2011_Financial_deals.LNK파일을 찾았다.

재무파일에다가 EXCEL 이니까 이 파일인 거 같다. 

 

파일의 크기를 찾아야 되는데 

이 파일이 LNK파일이라서 Size에 뜨지 않는다. 

 

LNK파일이란?

LNK 파일은 흔히 링크 파일이라고 부른다. 윈도우 운영체제에서 바로가기를 생성하는데 사용된다. 바로라기란 응용프로그램, 디렉터리, 파일, 문서 뿐만아니라 관리 콘솔 등의 특정 객체를 참조하는 파일이다. 바로가기를 클릭하거나 실행하면 대상 객체를 호출하게 된다.

 

 

LNK파일 사이즈, LNK파일 형식, 구조를 검색해보니

해당 게시물에서 링크 대상의 크기가 기록된 Offset을 알 수 있었다.

https://c0wb3ll.tistory.com/entry/LNK-File-Structure#:~:text=LNK%20File%20Format&text=%EC%B4%9D%2076byte%EC%9D%B8%20%EA%B8%B0%EB%B3%B8%EC%A0%81%EC%9D%B8%20%ED%97%A4%EB%8D%94,%EC%9D%98%20%EC%A0%95%EB%B3%B4%EA%B0%80%20%EC%A0%80%EC%9E%A5%EB%90%9C%EB%8B%A4.

LNK File Structure

아래 hex값

50 24 00 00

리틀엔디안 방식으로 표기되어있으니

즉 2450이 링크 파일의 사이즈이다. 

10진수로 변환시키면

파일 사이즈는 9296임을 알 수 있다. 

 

그리고 파일의 경로는

아래 사진의 위치에서 찾을 수 있었다. 

파일의 경로는

C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx 이다. 

 

키 포맷 형식에 맞도록 변경하기 위해 MD5 해시를 생성한다. 

C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx|9296

 strlwr(md5(full_path|file_size)) 

 strlwr(md5(D3403B2653DBC16BBE1CFCE53A417AB1))

 

그런데..답이 아니라고 해서

찾아보니 

대문자를 소문자로 바꿔주어야 한다...

바꾸어서

flag값은

d3403b2653dbc16bbe1cfce53a417ab1이다.