CTF/포렌식

[SUSEC CTF] little - 포렌식 / Autopsy

SecurityMan 2022. 3. 6. 10:34

txz 확장자를 가진 압축파일이 하나 주어진다.

tar 명령어를 이용해 tar -xvf <파일명> 로 압축을 풀어주면
little.img 파일이 나온다. 
binwalk 로 해당파일을 자세히 봤더니 ext2 filesystem 이라고 나온다.

ctf 폴더를 하나 만들고 거기에 ext2로 마운트를 시켜봤다.


마운트 시키면 ctf 폴더안에 secondf.png 파일 하나만 나온다.
파일이름이 second라 first로 있지 않을까 추측했다.

이것저것 해보다가
별생각없이 정말 우연히 vfat으로 마운트를 시켜봤다.

신기하게도 아까 secondf.png는 없어지고 FIRSTF.KGB 파일 하나만 덩그러니 있다.
 
이거 찾는데 꽤나 시간이 걸렸었다.
이렇게 하고 다시 위에 binwalk 결과를 보니 1072128 위치에 KGB 파일이 있다고 나와있었다..
KGB 파일이 뭔지 몰라서 아무생각없이 넘어갔었는데..
문제풀때는 하나하나 자세히 보도록 하자.

구글에 검색해보니 kgb 확장자를 가지는 파일은
압축파일이었고 전용 압축해제 프로그램을 찾을 수 있었다.
해당 프로그램을 다운받아 압축을 풀었다.

firstf.ogg 파일이 나온다. ogg확장자를 가지는 파일은 음악 파일이다.
그냥 클릭해서 실행시키면 된다.
실행하면 이름모를 외국인이 플래그를 하나씩 불러준다.
 
first 파일과 second 파일을 찾았지만 플래그 포맷이 완성되지 않아서
third 파일도 있을거라고 생각했다.
 
strings 명령어를 이용해 little.img 에 grep 을 걸어서 봤다.
thirdf.mp4 파일이 존재하는것을 확인했다.
 

해당 파일이 img 파일이기 때문에 포렌식 도구로 보면 어떨까 싶었다.

Autopsy 라는 포렌식 도구를 다운받았다.  * 참고로 autopsy 는 부검이라는 뜻이다.
위의 경로에서 해당 프로그램을 다운받을 수 있다.
아마 FTK Imager 나 Encase 가 있다면 그걸 써도 똑같이 풀릴것이다.
 

Autopsy파일을 설치 후 실행시킨 뒤
Add data Source -> Unallocated Space Image File을 선택

이미지 파일이 로드되면, Deleted Files 부분에서
삭제된 mp4 파일을 찾을 수 있다.
우클릭하면 간단하게 해당 파일을 복원할 수 있다.

복원한 mp4 파일을 클릭해서 재생하면 플래그의 마지막 부분을 얻을 수 있다.
반응형