[ * ] 문제 확인
해당 문제에서 주어지는 파일이며 열었을 때, 아래와 같은 메시지와 함께 풍성한 눈썹이 매력적인 남성을 볼 수 있다 ㅋ.ㅋ
[ * ] 풀이 방향
해당 문제 파일을 열었을 때 주어지는 메시지는 "That 8-symbol password, we were talking about recently, is exactly the same as the text on the T-shirt of that guy"이며 이를 간략히 해석하면 8자리의 비밀번호는 사진에 있는 남성의 티셔츠에 적힌 문자와 정확히 일치하다고 되어 있다 // 문제의 지문을 미루어 보아 해당 파일에 문제를 해결하기 위한 남성의 티셔츠 사진이 존재할 것이라 추측
문제를 해결 하기 위해 현재 주어진 조건은 task.docx 파일과, 파일 속 메시지와 사진이다 메시지와 사진에 대한 정보는 얻었으므로 task.docx라는 파일이 가지는 구조의 특징을 이해한다면 문제를 해결할 수 있을 것 같다
[ * ] 풀이 과정
먼저 파일의 구조 분석을 위해 Hex Editor로 현재 파일이 가지는 바이너리를 확인했고 결과는 아래와 같다
바이너리를 확인 결과 해당 파일의 확장자인 "docx"가 가지는 식별 값 즉, 시그니쳐 값인 "50 4B 03 04"를 확인할 수 있었고 해당 시그니쳐 값을 가지는 파일의 특성을 찾아보던 도중 아래와 같은 정보를 얻을 수 있었다
[자료 1]
위 자료에서 얻을 수 있는 정보는 "50 4B 03 04"라는 시그니쳐 값을 가지는 파일의 확장자가 "docx"만이 아닌 zip, pptx, xlsx 등의 다양한 확장자로도 사용할 수 있음을 알 수 있었고, 위 사진의 설명부분을 읽어 보던 도중 Microsoft Office Open XML Format이라는 것에 대해 더 알고 싶다는 생각에 검색을 해보았고 위키피디아에서 해당 부분을 자세히 알 수 있었다
[자료 2]
Office Open XML은 보통 "OOXML" 또는 "MOX"라고 알려져있으며 스프레드시트, 차트, 프레젠테이션 그리고 워드 프로세스 문서를 나타내기 위해 마이크로소프트가 개발을 하였고 XML을 기반으로한 파일 형식이고 압축이 되어 있다고 설명이 나와있었다. 해당 문서를 읽고 XML이 무엇일까 하는 생각에 또 다시 검색을 해보았고 아래와 같은 정보를 얻을 수 있었다
[자료 3]
위 자료의 내용을 요약하면, XML은 데이터에 의미를 부여하는 메타데이터를 기술하기 위해 개발 되었고 XML을 이용하면 해당 구조에서 데이터 이름, 실제 데이터, 데이터 단위에 대한 위치 표현이 가능해지며 그 표현은 태그 형식으로 한다
해당 자료들의 검색을 통해서 확장자 "docx" 그리고 "docx"와 관련된 정보들을 알 수 있었고, 결정적으로 문제 해결의 요인으로 작용했던 것은 OOXML의 자료의 설명 첫 부분에 "Office Open XML is zipped"라는 문장을 통해서였다. 해당 문장이 의미하는 바가 XML이 압축 데이터라는 것인지 아니면 XML이 압축 파일이라는 것인지 무슨 말인지 정확히 파악이 되지 않았기에 또 다시 검색을 해보았고 아래 자료의 두 번째 문단에서 궁금증을 해결할 수 있었다
[자료 4]
두 번째 문단의 첫 번째 줄을 확인하면 "Office Open XML 형식은 XML 및 ZIP 압축 기술을 기반으로 합니다"라는 설명을 볼 수 있었고 "docx"와 "zip"이 파일의 시그니쳐 값이 "50 4B 03 04"와 같다는 점을 [자료 1]에서 봤음을 생각하고 곧 바로 주어졌던 문제 파일인 task.docx의 확장자를 task.zip으로 바꾸어 주었더니 아래와 같이 세 개의 폴더와 XML파일을 확인할 수 있었으며, 각각의 폴더 역시 XML파일이 존재함을 확인할 수 있었다
각각의 폴더를 탐색 도중 아래와 같이 word\media\의 경로에서 image1.jpeg와 image2.jpg 파일을 확인할 수 있었다
두 파일 모두 확인 결과 image1.jpeg 파일은 제일 처음 주어졌던 task.docx 파일속에 있던 남성의 사진 이었고 image2.jpg 파일은 task.docx 파일속에서 볼 수 없었던, 8글자의 비밀번호가 적힌 티셔츠를 입은 남성의 사진을 볼 수 있었다
사진을 확대 해보면 흰 티셔츠를 입은 남성의 옷에 새겨진 password를 확인할 수 있다
PASSWORD = GANT1949
참조 사이트
http://forensic-proof.com
https://en.wikipedia.org/wiki/Office_Open_XML
https://namu.wiki/w/XML
https://msdn.microsoft.com/ko-kr/library/aa982683(v=office.12).aspx
'Wargame' 카테고리의 다른 글
| [STEGANOGRAPHY] PHDays Quals 2014 - Forensic 150 - mp3 me (0) | 2017.07.07 |
|---|---|
| [PACKET] ASIS 2013 - Forensic Final 300 (0) | 2017.07.06 |
| [Web Browser] Secuwave 2012 - Forensic 200 (0) | 2017.07.05 |
| [Web Browser] Codegate 2012 - Forensic 300 (0) | 2017.07.05 |
| [PACKET] Codegate 2014 - Forensic 150 - WeirdShark (0) | 2017.07.05 |