Kali-KM_Security Study

문제 확인


이번 문제도 이전과 비슷하게 디스크 파일을 주는 것 같다. 우선 다운을 받으면 13~~로 시작하는 파일을 다운 받을 수가 있다. 바로 이어서 분석을 시작하보자.


분석


HxD로 열어서 확인을 해보면 PK 로 시작하는 것을 확인할 수가 있다. 맨앞의 시그니처가 50 4B 03 04 로 시작하는 것을 확인할 수가 있으며 이에 해당 하는 시그니처를 찾아보니 ZIP, DOCX, PPTX, JAR 등 다양하다. 하지만 문제에서 Disk라고 했으므로 우리는 Zip이라 생각하고 진행을 해보자.

압축을 해제하면 sdc.dd 라는 파일이 하나 발견된다. 이 파일에서 우리는 단서를 찾아내어야 한다. 단서를 찾는 방법은 파일 카빙의 기법과 동일하게 시그니처를 찾는 방법을 사용했다. HxD로 연다음에 각 파일의 시그니처를 찾았다.

MZ, PK, PNG 등을 찾아보았을때 유일하게 PNG 시그니처를 하나 찾을 수가 있었다. 따라서 이 .dd 파일에는 .png 파일이 있다는 것을 확인할 수가 있었다.



복구


파일의 복구 과정은 Level 0 과 같기에 생략하고 역시 칼리리눅스에 있는 Foremost를 이용해서 복구를 하였다. 복구를 하면 아래와 같은 .png 파일을 하나 추출된 것을 확인할 수가 있다. 아래와 같이 플래그가 바로 나타나기에 바로 입력해주면 레벨 2로 진행할 수가 있다.



'Forensic > WarGame' 카테고리의 다른 글

Real Digital Forensic Level 1  (0) 2015.09.18
Real Digital Forensic Level 0  (0) 2015.09.18

Comment +0

문제 확인


http://real-forensic.com/ 에 접속을 하여 Registration을 클릭하고 닉네임과 이메일을 입력하면 해당 이메일로 아래의 메일이 도착하는 것을 확인할 수가 있다. 그리고 해당 플래그를 입력하면 Level 0 의 문제를 받을 수가 있다.

플래그를 입력하고 문제를 다운 받는다. 파일의 이름은 6186ae520a5316d4c57a630b3364f170 이다. 이제 어떻게 해야할지 아무런 말이 없으니 분석을 시작해보자.



분석


HxD로 파일을 열어서 확인해보면 아래와 같은 바이너리를 확인할 수 있다. 대부분의 파일을 시그니처를 갖고 맨 앞에 갖고 있으므로 이 파일에 대한 시그니처를 확인해본 결과 이는 .gz 인것을 확인할 수가 있다. 즉 압축파일이다. 따라서 우리는 이를 압축해제 해야한다는 것을 알 수가 있다. 

* 파일의 시그니처 확인은 http://kali-km.tistory.com/entry/File-Signature 에 포스팅 했으므로 해당 시그니처를 찾아보면 된다.


압축을 해제한 결과 해당 파일을 다시 HxD로 열어서 확인을 해보면 img0.dd 라고 써있다. 처음에는 이것도 어떤 파일의 시그니처인가 확인을 위해 검색을 했지만 나오지가 않았으며 img라는 단어를 계속 검색해보니 해당 파일에 img0, img1, img2가 존재하는 것을 확인할 수가 있었다. 따라서 이 또한 압축파일의 가능성이 존재하다 생각할 수 있으며 다시 한번 압축해제를 진행한다.


압축을 해제한 결과 아래와 같이 3개의 .dd 파일이 생성되는 것을 볼 수가 있다. .dd는 이미징된 파일 시스템이라는 것을 알게되었다. 따라서 이 3개의 .dd에서 어떠한 단서를 찾아야한다.


해당 바이너리를 확인해보면 아래와 같다. 이제 특정한 문자열이나 데이터를 찾기위해 binText를 통해 확인해보았지만 아무런 단서를 찾지 못했고 오히려 파일들의 시그니처를 검색해보았다. PE, gz 등등 찾아보다가 찾은 것이 바로 %PNG였다. 바로 이미지 파일이 존재하는 것을 확인할 수가 있었고, 3개의 .dd 파일에서 모두 png 파일의 존재 여부를 확인할 수가 있었다.


복구


png 파일이 존재하는 것을 확인했으니 해당 파일을 복구해보자. 여기선 카빙을 사용할 것이며 이에 대한 내용은 http://kali-km.tistory.com/entry/filerecovery 을 참고하면 될  것 같다. foremost를 통해 해당 이미지들에 있는 png를 복구해보자.

3개의 이미지들을 모두 각각의 폴더에 복구시켰다. 해당 폴더들을 확인해보면 0185.png와 0265.png 파일이 존재하는데 각 이미지 모두 같은 그림이 존재하는 것을 확인할 수가 있다.


결과


각 3개의 폴더에는 총 2장의 사진이 있으며 결국 총 6개의 사진은 모두 같은 이미지를 나타내는 것을 확인할 수가 있다. 해당 파일에는 텍스트를 캡처한 사진이 있으며 결국 이 텍스트의 내용이 바로 Flag 인 것이다.



I_was_N3ver_less_Alone_tHan_when_by_mYselF

'Forensic > WarGame' 카테고리의 다른 글

Real Digital Forensic Level 1  (0) 2015.09.18
Real Digital Forensic Level 0  (0) 2015.09.18

Comment +0