pdf 파일과 관련된 포렌식 문제
문제 설명을 읽어보면, classified documnet를 유출했는데,
가려진 프로젝트의 이름을 알아낼 수 있겠냐고 물어본다.
문제파일로 주어지는것은 sf703.pdf 파일이다.
pdf 파일을 열어보면 이렇게 한장짜리 문서가 나온다.
유출한 TOP SECRET 문서인데
가운데에 보면 Project :
라고 되어있어 프로젝트의 이름을 알 수가 없는 상태이다.
sf703.pdf 파일을 리눅스 환경으로 옮겨
strings 명령어를 이용해 살펴본다.
strings <파일명> 으로 입력하면
해당 파일 내에 사람이 읽을 수 있을법한 문자열들을 출력해 준다.
출력된 결과를 내리다보면 눈에 띄는 부분이 있다.
24번 오브젝트에 가보면
뭔가 이렇게 길게 Base64로 인코딩된 문자열이 나오게 된다.
CyberChef(https://gchq.github.io/CyberChef)에서 base64로 디코딩을 해주면
이렇게 아래쪽에 bplist00 으로 시작하는 파일이 생성되는걸 볼 수 있다.
저장버튼을 눌러서 해당 파일을 저장해준다.
그러면 download.dat 라는 이름으로 파일이 저장된다.
다운받은 download.dat 파일을
이번엔 HxD 프로그램으로 열어준다.
HxD로 열어서 조금 내려주면
PNG 라는 문자열을 발결할 수 있다.
위처럼 파일이 16진수 값으로 89 50 4E 47 로 시작하는것은 PNG 파일의 특징이다.
89 50 4E 47이 맨 앞으로 올 수 있게
그 앞에있는 내용들을 Delete 키를 눌러 모두 삭제해버린다.
그리고 나서 다른이름으로 저장한 후, 파일 확장자를 .png로 바꿔주면
숨겨져 있던 프로젝트의 이름을 찾아낼 수 있다.
'CTF > 포렌식' 카테고리의 다른 글
| [TigerKingCTF] Tom Nook - Internet traffic - Part II - 포렌식 / John the Ripper (43) | 2022.07.31 |
|---|---|
| [TenableCTF] The One with a Lot of Cats - 포렌식 / FTK Imager (38) | 2022.07.16 |
| [HouseplantCTF] Deep Lyrics - 포렌식 / 스테가노그래피 / DeepSound (70) | 2022.06.27 |
| [HouseplantCTF] Music Lab - 포렌식 / 스테가노그래피 / Audacity (61) | 2022.06.21 |
| [HouseplantCTF] Neko Hero - 포렌식 / 스테가노그래피 / Stegsolve (64) | 2022.06.20 |