중급 난이도의 포렌식 문제
난이도가 중급이지만 너무 쉽게 풀려버렸다.
반응형
해당 문제에서는 chall.zip 이라는 압축파일이 하나 주어지게 된다.
압축을 풀어보면 이렇게 qcow2 라는 확장자를 가진 파일이 두개 나온다.
개인적으로 qcow라는 확장자를 처음봐서 검색해봤더니
QMEU에서 사용하는 디스크 이미지 파일 포맷이라고 한다.
QMEW는 가상화 프로그램 중 하나이다.
디스크 이미지 파일이기 때문에 FTK Imager 프로그램으로 해당 파일을 열어볼 수 있다.
File - Add Evidence Item - Image File 을 선택해주면 된다.
파일을 열어보면 Unrecognized file system 이라고 나오는데
오른쪽 하단을 보면 알겠지만 dirty bit, corrupt bit 이런식으로 파일시스템을 고의적으로 망가트려놨기 때문이다.
보통 이런경우 파일시스템 중간에 플래그가 숨어있거나,
파일시스템을 복구해서 숨겨진 파일을 찾아내는 유형이 많은데
이번 문제의 경우 허무하게도
strings 명령어와 grep 명령어를 이용해서
플래그를 쉽게 찾을 수 있다.
strings 명령어는 해당 파일에서 사람이 읽을 수 있을만한 문자열을 출력해주고,
grep 명령어는 앞의 명령어 수행결과에서 원하는 패턴을 찾아준다.
플래그 포맷이 shctf 인걸 알고있으니
strings master0-3.qcow2 | grep shctf
라고 입력하면 플래그가 출력되게 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [TGHACK] s2s messaging - 포렌식 / Wireshark (42) | 2022.04.14 |
|---|---|
| [Space Heroes CTF] Strange Traffic - 포렌식 / Wireshark / Tshark (44) | 2022.04.10 |
| [Space Heroes CTF] Buzz's Secret Watch (Part 1) - 포렌식 / Binary (56) | 2022.04.08 |
| [Space Heroes CTF] Future Stego - 포렌식 / 스테가노그래피 / steghide (40) | 2022.04.07 |
| [Space Heroes CTF] Netfilx and CTF - 포렌식 / Wireshark / Tshark (44) | 2022.04.06 |