[Space Heroes CTF] tarry Night - 포렌식 / HxD

 

beginner-friendly 난이도의 포렌식 문제이다.

 

그런데 생각보다 어려웠는지 풀이수가 적었다.

 

반응형

 

 

문제에서 주어지는 것은 

 

tarry_night.tar.gz 파일이다.

 

 

압축을 풀어보려 했더니

 

뭔가 잘못됐는지 압축이 풀리지 않았다.

 

 

HxD 로 바로 열어봤다.

 

파일의 맨 첫부분이 08 AD 37 이라고 적혀있는데

 

.gz 파일은 파일 시그니처가 1F 8B 08 이다.

 

1F 8B 08 로 파일이 시작되어아 하는데

 

해당 부분이 짤려서 인식을 못하는것 같았다.

 

 

이렇게 맨 앞에 1F 8B 08 을 추가해줬다.

 

 

추가하고 gz 의 압축을 풀면

 

압축이 성공적으로 풀리고,

 

이젠 tar 가 남게 된다.

 

 

tar 파일 역시 HxD 로 열어봤는데

 

뭔가 이상했다.

 

보통 tar 파일을 HxD 로 열면

 

맨 앞부분에 압축된 파일의 이름이 오는데

 

여긴 뭔가 알수없는 값이 들어있었다.

 

뒤에있는 0C 의 반복도 뭔가 이상해보였다.

 

 

CyberChef(https://gchq.github.io/CyberChef) 에 해당 파일의 hex 값을 붙혀넣고,

 

XOR Brute Force 를 해봤다.

 

그랬더니 key 값이 0c 일때 

 

flag.jpg 라고 맨 앞부분에 파일명이 나오게 되었다.

 

 

key 값을 알았으니

 

0C 로 XOR 을 해주고,

 

해당 결과를 tar 파일로 저장해준다.

 

 

저장한 tar 파일의 압축을 풀면

 

위와 같은 flag.jpg 파일을 찾을 수 있다.