관리 메뉴

Jsecurity

ASIS Quals CTF : 파일에서 플래그를 찾아라. 본문

포렌식/CTF

ASIS Quals CTF : 파일에서 플래그를 찾아라.

Great king 2019. 11. 11. 01:56

[ 문제 파일 Download ]

keka_bomb_9e0f1863259c578f3231b5cfbc10e258
0.01MB


문제파일

주어진 문제 파일에 확장자가 존재하지 않기 때문에 어떤 유형의 파일인지 알 수 없다. 그렇기 때문에 Linux의 file 명령어를 사용하여 파일의 확장자를 확인한다.

 

파일 유형 확인하기

위의 그림과 같이 문제 파일이 XZ 확장자를 가진 압축파일임을 알 수 있다. 파일명의 확장자를 .xz 로 변경한 뒤 unxz 명령어를 사용하여 압축을 풀어 확인한다.

 

unxz 압축해제 명령 

압축을 해제하면 다시 한번 똑같은 파일이 나타난다. 한번더 file 명령어를 사용하여 파일의 유형을 확인한다.

 

7zip으로 압축된 파일

파일 확장자를 확인해보니 7zip으로 압축된 파일인 것을 알 수 있다. 데이터를 windows 운영체제로 옮겨 분석해보자.

 

압축된 파일들

압축파일을 실행하면 위의 그림과 같이 16개의 파일들이 압축되어 있다. 그 중 특이한 점은 문제 파일로 제공된 파일의 용량은 10MB가 채 되지 않는 파일이었지만, 현재 위의 그림과 같이 압축된 파일들이 모두 동일하게 파일 용량이 4.2GB나 되어 해당 파일은 ZipBomb으로 예상된다. 

   

ZipBomb 
압축이 풀릴 때 엄청난 양의 하드디스크와 메모리의 용량을 고갈시키는 악성 파일이다.

 

특이한 점은, 위의 그림의 내용과 같이 압축 파일들이 이름, 크기, 압축된 크기, CRC, 수정한 날자 등의 정보를 볼 수 있다. 이 중에서 013.7z이 다른 파일들과 다르게 압축된 크기와 CRC 정보가 다른 것을 볼 수 있다. 따라서 013.7z파일을 압축 해제한 후 확인해본다.

 

013.7z 압축파일 내용

이번에도 다른 파일들과는 다른 압축된 크기, CRC 정보를 갖는 파일이 존재한다. 이전 압축파일과 동일한 방법으로 CRC 정보가 다른 압축파일 0009.7z를 압축해제하여 확인한다.

 

0009.7z 압축파일 내용

이번에도 다른 파일들과는 다른 압축된 크기, CRC 정보를 갖는 파일이 존재한다. 이전 압축파일과 동일한 방법으로 CRC 정보가 다른 압축파일 0000007.7z를 압축해제 하여 확인한다.

 

0000007.7z 압축파일 내용

이번에도 다른 파일들과는 다른 압축된 크기, CRC 정보를 갖는 파일이 존재한다. 이전 압축파일과 동일한 방법으로 CRC 정보가 다른 압축파일 0000000008.7z를 압축해제 하여 확인한다.

 

폭탄 등장!

위의 그림과 같이 bomb로 시작하는 파일들의 용량은 모두 같지만 이전과 다르게 파일 유형이 압축파일이 아니다. 위의 파일들 중 bomb_08 파일이 다른 압축된 크기, CRC 정보를 가지고 있기 때문에 bomb_08 파일을 압축해제하고 Hex Editor로 확인한다.

 

bomb_08

Hex Editor로 파일을 불러오면 위의 그림과 같이 0 값으로 파일이 구성되어 Flag와 관련된 문자열을 찾을 수 없다. 파일에서 문자열이 있는지 strings를 사용하여 Flag를 확인한다.

 

Flag!

ASIS{f974da3203d15582697f4a66735a20b}

 


문제 출처: 디지털 포렌식 with CTF 

 

책을 참고하여 풀이 및 작성하였습니다.

 

 

'포렌식 > CTF' 카테고리의 다른 글

Codegate 2012 F100 : Disk Forensic  (0) 2019.11.16
ASIS Quals CTF : 하늘은 왜 푸른색입니까?  (2) 2019.10.19
ASIS Quals CTF 2015 : Broken Heart  (0) 2019.06.28
Comments