#About
President's cat was kidnapped by separatists. A suspect carring a USB key has been arrested. Berthier, once again, up to you to analyze this key and find out in which city the cat is retained!
The md5sum of the archive is edf2f1aaef605c308561888079e7f7f7. Input the city name in lowercase.
#Solution
[그림 1] - 문제 파일 확인
문제로부터 제공받은 파일은 128MB이며 아래와 같이 디스크 파일임을 알 수 있고 이는, 지문에서도 USB라고 언급되어 있다
[그림 2] - 파일 확인
디스크 파일을 분석하기 위해 아래와 같이 FTK Imager로 chall9 파일을 아래와 같이 열어주었다
[그림 3] - FTK Imager를 통한 디스크 파일 오픈
FTK Imager를 통해 디스크 파일을 열람한 결과, 해당 USB는 파일시스템으로 FAT32를 가지고 있었고,
디렉터리 확인 결과 몇개의 pdf와 doc, hwp 파일을 확인했지만 문제에서 요구하는 키 값을 확인할 수 없었고
비할당역에서의 파일을 살펴보던 중 아래와 같이 50 4B 03 04 즉, 압축 파일을 의미하는 시그니처를 확인할 수 있었다
[그림 4] - 비할당영역에서의 압축 파일 확인
그 후, FTK Imager로부터 해당 파일을 추출 했고 확장자를 zip으로 설정해준 뒤 폴더들을 살펴 보았더니 아래와 같은 사진을 확인할 수 있었다
[그림 5] - Pictures 폴더 내 의심스러운 jpg 확인
고양이가 주인을 쳐다보는 눈빛에서도 알 수 있듯 매우 심상찮은 파일임을 느끼고 메타 데이터가 기록되어있나 확인 해보았다
[그림 6] - 메타 데이터 확인
확인 결과 해당 jpg 파일은 I-PHONE 4S 기종에서 생성 된 파일이며 파일이 생성 될 당시의 GPS 정보를 확인할 수 있었다
하지만 윈도우에서 제공하는 정보를 해석에 어려움이 있어 jpg 파일의 메타데이터를 분석해주는 사이트를 이용, 아래와 같은 결과를 얻을 수 있었다
[그림 7] - JPG 분석 온라인 웹 사이트를 통한 보다 자세한 메타 데이터 확인
카메라 기종, 파일 생성 시간 등 이외에도 보다 많은 정보를 확인할 수 있었고, 가장 중요한 GPS 정보 또한 올바른 값으로 확인할 수 있었다
주어진 위도와 경도 값을 기반으로 위치를 확인해보았더니 문제에서 요구하는 도시의 이름을 확인할 수 있었다
[그림 8] - 문제에서 요구하는 city name 확인
인증키 = helfrantzkirch
'Wargame' 카테고리의 다른 글
| [FEDORA CORE 3] Iron_golem > Dark_eyes (0) | 2017.12.21 |
|---|---|
| [FEDORA CORE 3] Gate > Iron_golem (0) | 2017.12.17 |
| [MEMORY] Root Me > Command & Control level 6 (0) | 2017.12.14 |
| [REV] 2017 TUCTF > Funmail (0) | 2017.12.14 |
| [MEMORY] Root Me > Command & Control level 5 (0) | 2017.12.13 |