이번 시간에는 CTF-D에 Disk 카테고리 문제인 "X 회사의 재정 정보를 훔치기" 를 풀겠습니다.
문제를 보겠습니다.
주어진 파일을 다운 받고 hxd에디터로 열어 보겠습니다.
7z로 된것을 보아 7-zip으로 압축된 파일입니다. 그래서 7-zip으로 압축을 풀었습니다.
(하지만 hxd로 봐도 좋지만 바로 이해하기는 힘들기 때문에, 리눅스에서 file [파일명] 하시는게 제일 편합니다!!)
압축을 풀면 다음과 같이 Users파일이 나옵니다. 들어가시면 다양한 폴더가 존재하는데 한번 보겠습니다.
All Users, Default, Default User, proneer, Public이 존재하는데, 문제를 보면 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다고 하였다. 그럼 EXCEL파일이니까 Microsoft/office일것이다. 그래서 폴더를 찾아보니 AppData 폴더가 하는 역할은 다음과 같습니다. 각각의 윈도우즈 사용자계정에 존재하며, 응용 프로그램의 데이터 및 설정 내용을 저장한다. 즉, 윈도우즈 운영체제에서 응용 프로그램(한글, 엑셀, 파워포인트) 등등의 데이터를 저장하는 폴더라고 할 수 있습니다.
그래서 폴더를 찾아보니 AppData폴더가 두 군데에 존재 했지만, 한 군데는 이상한 데이터들이 들어 있는 폴더였고, proneer폴더에 AppData를 찾아가보니 비밀스러운 파일들을 찾을 수 있었습니다.
파일들의 경로는 다음과 같습니다.
Users\proneer\AppData\Roaming\Microsoft\Office\Recent
자료들을 보고 있으니, 이 파일이 수상함이 느껴졌습니다.
바로 Top-Secret이라는 파일로 되어 있는것이 비밀 스러운 파일이였습니다.
파일을 찾았으니 이제 문제에 따라 훔친 파일의 전체 경로와 파일의 사이즈를 찾아야 합니다.
그래서 사용한 프로그램은 WFA라고 Windows File Analysis의 약자인 프로그램이 있습니다.
이 프로그램은 이름 그대로 윈도우에서 파일 분석을 해주는 도구입니다.
바로 실행을 시켜 파일을 열어보겠습니다.
프로그램은 이렇게 생겼습니다.
프로그램을 실행 후 File - Analyze shortcuts를 누릅니다. 누르고 난 후 파일이 있는 경로의 폴더를 선택하면 다음과 같이 뜹니다.
여기를 보면 Linked path가 보이실텐데 이 부분이 파일의 전체 경로입니다. 그래서 제일 하단에 Top-Secret을 더블클릭 하면 상세정보가 나오는데, 이 부분에서 전체경로를 복사하고 | 문자를 사용해서 파일사이즈인 9296을 입력해줍니다.
C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx|9296 이렇게 입력을 하신 후 md5 해쉬함수를 통해 암호화를 해줍니다.
Output값이 플래그 값입니다!! 사이트를 찾기 어려우시다면 다음과 같이 파이썬 코드를 작성하셔도 됩니다.
똑같이 답이 나오는 것을 볼 수 있습니다.
-Reference-
디지털 포렌식 with CTF
'CTF-D > Disk' 카테고리의 다른 글
| [Disk] 윈도우 작업 관리자에서 우클릭... (0) | 2022.03.16 |
|---|---|
| [Disk] A회사 보안팀은 내부직원 (0) | 2022.03.15 |
| [Disk] 판교 테크노밸리 K기업에서 (2) | 2022.03.13 |
| [Disk] 이벤트 예약 웹사이트를 운영하고... (0) | 2022.03.07 |
| [Disk] 파일에서 플래그를 찾아라 (0) | 2022.02.05 |