[HackTheBox] Blackhole - 포렌식 / Steghide

 

HackTheBox 에서 제공하는 쉬운 난이도의 포렌식 문제

 

스티븐 호킹의 컴퓨터에서 수상한 파일이 발견되었는데, 무엇인지 알아내라고 한다.

 

반응형

 

 

문제에서 주어지는 것은 Blackhole.zip 파일이다.

 

 

파일을 보면 

 

Blackhole.zip 파일안에 archive.zip 이라는 또다른 zip 파일이 있고,

 

그안에 hawking 이라는 파일이 들어있다.

 

 

왜 그런진 잘 모르겠는데

 

전체 압축파일인 Blackhole.zip 파일은 56.7kb 인데

 

실제 압축된 파일인 hawking 은 크기가 0 으로 나왔다.

 

윈도우 환경에서 압축을 풀어볼랬더니 잘 안됐다.

 

 

리눅스 환경에서 unzip 명령어를 이용해 풀어보니

 

정상적으로 압축이 풀렸다.

 

file 명령어로 hawking 파일을 확인해보니

 

jpg 파일이라고 나왔다.

 

 

hawking.jpg 로 파일 이름을 변경해 확인해 보니

 

이런 스티븐 호킹의 사진이 나왔다.

 

사진에 뭔가 숨겨져 있을거라고 생각해서

 

스테가노그래피 도구로 확인해봤다.

 

 

steghide extract -sf <파일명> 명령어를 이용해 분석을 해봤다.

 

passphrase 를 입력하라고 하는데

 

여러번 시도해보다가 hawking 이라고 입력했더니

 

맞았는지 flag.txt 파일이 추출되었다.

 

 

flag.txt 파일의 내용을 확인해보니

 

위처럼 Base64 인코딩된 데이터가 들어있었다.

 

데이터의 끝이 = 으로 끝난다면 Base64 라고 생각하면 거의 맞다.

 

 

마지막으로 CyberChef(https://gchq.github.io/CyberChef/) 를 이용해 플래그를 찾았다.

 

Base64로 두 번 디코딩을 하고,

 

ROT13 레시피를 이용한 뒤 Amount 를 14로 바꿔주면

 

스티븐 호킹에 대한 소개와 함께 플래그가 출력된다.