ASIS Quals CTF : 하늘은 왜 푸른색입니까?

문제 파일 다운로드 

http://www.ctf-d.com/files/0e5fd204e2cf4b8c756cb95b41759185/blue.txz

 

---

풀이

'blue.txz'로 압축되어 있는 문제파일이 주어진다. 압축을 풀기위해서 위의 명령어와 같이

 

 [root@localhost Desktop]$ tar Jxvf blue.txz

 

명령어를 입력하면 위의 blue라는 폴더 와 하위 파일이 압축해제 된다.

 

blue.pcap 파일이 주어진다. 해당 패킷 안에 어떠한 데이터가 있는지 확인하기위해 binwalk를 이용하여 분석하면 png파일이 은닉 되어있음을 확인할 수 있다.

 

그후, 분석을 통해서 png 파일을 추출하면 문제를 해결할 수 있다.

 

위의 그림과 같이 png 이미지가 은닉되어 있다.

따라서, Wireshark를 통해 blue.pcap파일을 분석하면 의심스러운 부분을 발견할 수 있다.

Find Packet (Ctrl + F) 에서 Packet Bytes에 png를 검색한다.

(Find: String, Filter: png, search In: Packet bytes, Character width: Narrow&wide)

 

위의 그럼과 같이 283번 패킷의 헤더를 보면 [02 0c 20]으로 시작함을 볼 수 있다.

마찬가지로 Hex값 검색을 하여 283번 패킷이후에 [02 0c 20]의 헤더를 가진 데이터를 분석하면 총 6개의 패킷을 볼 수 있다. (288번, 293번, 298번, 303번, 308번, 313번)패킷을 추가적으로 찾는다.

 

Wireshark의 [File] - [Export Selected Packet Bytes] 기능을 통해서 패킷의 Bytes 데이터를 추출할 수 있다.

단축키로는 [Ctrl + Shift + x] 이다.

 

288번, 293번, 298번, 303번, 308번, 313번의 패킷을 추출하여 순서대로 조합하면 은닉된 png 파일을 얻을 수 있다.

283번 패킷은 1.bin, 288번 패킷은 2.bin과 같이 추출하여 313번 패킷 7.bin까지 추출하였다.

 

 

Hex Editor를 통해 1.bin 부터 7.bin파일까지 조합하기 이전에

.bin 파일의 헤더 13bytes(02 0C 20 FC 03 F8 03 47 00 63 EF E6 07)과 파일의 마지막 1byte(0E)를 제거 한다.

 

Hex값 [02 0C 20 FC 03 F8 03 47 00 63 EF E6 07] 제거

 

Hex값 [0E] 제거

 

HxD의 [Extra] - [File tools]메뉴에는 파일을 조합시켜주는 [Concatenate]기능이 있다. 이 기능을 통해서 1.bin파일부터 7.bin파일까지 순서대로 조합하여, out.png파일을 확인할 수 있다.

 

한국어 버전일 경우!

 

result.png 파일을 추출했지만 png파일이 열리지 않는다.

그 이유는 png 파일 시그니처 앞에 아래의 그림과 같이 불필요한 데이터가 있기 때문이다.

따라서, 불필요한 데이터를 제거한 뒤 다시 파일을 열어본다.

 

불필요한 데이터 삭제

 

성공!

ASIS{ee9aa3fa92bff0778ab7df7e90a9b6ba}

 

---

문제출처: 디지털 포렌식 with CTF 

 

책을 참고하여 풀이 및 작성하였습니다.