S.W.F.S.

1팀 정유진 악성코드가 첨부된 PDF를 분석하여 Flag를 찾아보자 다운로드 받은 PDF파일은 PDFStreamDumper로 분석해보자 왼쪽엔 오브젝트들이 나와있고 각각의 오브젝트들을 확인해보자 오브젝트 37에는 자바스크립트 코드가 보인다. 추출해서 파일을 열어보니 이런 코드들이... 오브젝트 39를 열어보니 또다른 pdf파일이 보인다. 이 파일을 추출해서 열어보려니 암호화가 되어있다. 이 암호화를 풀기 위해서 PDF 잠금해제 도구를 사용해보자. https://smallpdf.com/kr/unlock-pdf 암호해제된 파일을 다시 저장해서 열어보니 플래그가 보인다. 플래그에 나온 텍스트를 MD5로 변환시켜보면 Auth 값이 나온다!

4팀 이유진 [DigitalForensic] with CTF ctf-d.com test.html 을 열면 위와 같은 QR코드가 하나 나온다. 카메라로 인식해보면 8febb919bc0fc08e3e1108b1b6bfef37 이라는 문자열이 나온다. 이 문자열을 플래그로 입력했더니 문제가 풀렸다!

3팀 심유나 달과 관련된 문제인 것 같았다. 다운을 받고, 스테가노그래피 툴에 넣어봤지만 플래그를 찾지 못했다. 속성에도 플래그 값은 없었다. 헥스 에디터로 열어보았다. moon.png 이므로 파일 시그니처는 맞았다. 혹시나 해서 flag 값을 검색해보니 마지막 부분에서 flag가 검색되었다. 일단 png의 헤더 부분이 아닌 푸터 시그니처도 찾아봤다. 그렇다면 푸터 시그니처에서 끝나야 되는데 뒤에 무언가가 더 있어서 찾아보니, 바로 위 사진에 블럭 처리된 뒷부분이 zip 파일의 시그니처라는 사실을 알게 되었고, 그것만 따로 zip 파일로 저장을 했다. 저장한 zip 파일을 열면 flag.txt라는 파일이 나온다. 암호가 있어서 당황했는데 이 문제는 달과 관련된 문제라 moon 을 입력하니 쉽게 열렸다. ..

3팀 심유나 파일을 다운 받고 나니 jpg가 두 번 있어서 뭔가 이상한 것 같았지만, 사진이므로 역시 스테가노그래피 툴에 넣어봤다. 별 특이한 점을 발견하진 못했다. 속성 - 자세히 파트에도 수상한 것은 없었다. 헥스 에디터로 열어보았다. FF D8 FF 가 한 페이지에 3개가 보인다. 그래서 하나씩 따로 저장을 해주었다. 1번을 저장했더니 이런 그림이 나왔다. 2번을 저장했더니 문구가 보였다. 그림판에서 좌우반전을 시켜줬다. INS{MAGNIFICATION_X100_FOR_STARTERS} 입력하니 정답~!

1팀 김나연 zip파일을 ftk imager로 열어봤다 파일이 많이 없는 편이었다. 중요해 보이는 파일이 많았지만 딱히.. 그러다 thumbs.db 파일을 보다가 flag값을 바로 찾았다. thumbs.db란? 그림파일이 들어있는 폴더를 탐색기로 볼 때 미리보기 또는 슬라이드 보기 기능 이 기능을 사용하기 위해 자체적으로 만드는 파일 출처: https://m.blog.naver.com/dceye/50012956772 그냥 끝내기는 아쉬우니까 저번에 설치했던 thumbs.db viewer로 thumbs.db 파일을 보자. thumbs.db 파일을 추출해서 열어봤다. 파일 목록들의 썸네일이 보이고 플래그 값은 이 파일의 이름인 것을 확인할 수 있다. 끝

1팀 김나연 제공된 파일을 ftk imager로 열어보려고 했는데 열리지 않는다. hxd로 파일 확장자를 알아보자. ADSEGMENTEDFILE AD1파일이다. 확장자를 AD1으로 바꾸어서 ftk imager로 열어봤다. 열린다. 폴더도 얼마 없으니 모든 파일을 다 살펴보다가 해당 파일을 보니 GPSNote라는 문구를 발견했다. 출발지-거쳐가는 곳-최종 도착지를 GPS로 알아내는건가 문서에 적힌 http://www.gpsnote.net/ 주소로 이동해봤다. 파일의 lat 과 lon이 뭐지 했는데 위도경도이다 gps route editor로 편집한 파일같으니 gps route editor를 다운받아서 열어보는게 나을 거 같다 gpx route editor로 추출한 파일을 열려고 하니 확장자를 .gpx로 바..

2팀 김민주 문제는 다음과 같다. 우선 문제에 주어진 사진을 다운 받아보았다. 파일명이 다른 문제와 다르게 단어가 아닌 이름인 것 같아 의심스러웠다. Hxd Editer로 파일을 열어보니 jpg 파일의 시그니처인 FF D8 FF로 시작하는 걸 발견했다. 그 외에는 특별한 점을 찾지 못해 풀이를 참고했는데, 풀이를 통해 사진 안에 다른 사진이 포함되어 있을 수 있다는 사실을 처음 알게 됐다. 이 사실을 바탕으로 파일에서 FF D8 FF를 찾았더니 총 3개가 나왔다. 해당 부분을 추출했더니 두 번째 사진에서 플래그 값을 찾을 수 있었다. 문제 풀이 성공

3팀 이윤지 zip 파일을 주어진 비밀번호로 풀면 또 다른 압축 파일과 jpg 파일이 하나 있다. jpg 파일에서 암호를 찾아 압축을 풀어야 할 듯... 헥스 에디터로 열어서 flag를 검색도 해 보고 찾아봤는데 잘 모르겠어서 속성을 확인했다. 문제 이름에 걸맞게 hash 값으로 유추되는 문자열이 있다. 분석을 했더니 base64라고 해서 복호화를 했고... 9b1a81fe0c720c0de21d815e435d291d라는 값을 얻었다. 그런데 암호가 틀렸다고 해서 한 번 더 분석을 해 보았다. MD5로 한 번 더 복호화를 해 주니 암호로 보이는 키가 나왔다. 압축 푸는 것은 성공했는데 또 압축 파일이 있다.... 텍스트 파일을 열어 보았다. 자세히 확인해 보면 부적절한 자리에 쓰인 대문자나 숫자들이 보인다..