| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- leetcode 819
- 스파크 완벽 가이드
- leetcode 234
- MapReduce 실습
- leetcode 49
- docker로 airflow 설치하기
- leetcode 561
- Python
- leetcode125
- 데이터레이크와 데이터웨어하우스
- 컴퓨터구조
- ctf-d
- leetcode 344
- leetcode 937
- leetcode 15
- 빅데이터를 지탱하는 기술
- 블로그 이전했어요
- 배열
- 문자열 조작
- airflow docker
- Hortonworks Sandbox
- leetcode
- 머신러닝
- 올바른 변수명 짓기
- leetcode 5
- webcrawler
- Hadoop
- wargame.kr
- leetcode 238
- leetcode 121
- Today
- Total
HyeM
[CTF-d] Find Key(docx) 본문
Find Key(docx)
200
해당 문제에는 2013_CodeGate_F300-find_key.docx 이 첨부되어 있다.
docx 파일을 열어보니 사진 하나가 삽입되어 있다.
docx 파일이라는 점에서 zip파일로 바꿔 그 속을 보는것이 숨겨진 flag 찾는데 도움이 될 것 같다.
확장자를 zip으로 바꾸고, word파일속 media파일에 들어가 사진을 확인해보았다.
HxD로 위의 파일들을 살펴보던 중 image6만 파일 시그니처가 다른 것을 확인하였다.
image2와 image4, image6의 확장자가 emf인데 image6만 파일 시그니처가 다르다는 점에서 의심할 만한다.
파일 시그니처가 50 4B 03 04 14 00 06 00이니, 확장자를 emp에서 docx로 변경해보겠다.
* emf 파일 : 윈도우 메타 파일로, wmf와 동일하지만 32비트로 화질이 개선된 규격이다. ; 윈도즈에서 인쇄에 사용되는 스풀(SPOOL) 파일 형식. (출처 : 정보통신용어해설집)
docx로 확장자를 바꾸고 word로 여니 2013 글씨가 보인다.
여기서 힌트의 'Extra_Field_Entry' 를 떠올리고 HxD로 위 파일을 확인해보았다.
파일 이름 뒤에 나오는 Extra Field 부분의 데이터가 0인 것으로 보아,
Extra Field 영역에 데이터를 은닉해 놓은 것 같다.
Steganography with ooXML - Unhider 툴로 숨겨진 flag를 찾아보자.
분석된 파일을 열어보면 flag를 확인할 수 있다.
flag : c0d2gate~2o13!!F0r2nsic!!!!!
제작 방법 추측
1. 공개할 docx 파일을 만든다.
2. 숨겨놓을 docx파일을 만들고, flag값을 Extra Field 영역에 은닉한다.
3. 2의 docx파일의 hex값을 유지한채, 이름을 image6.emp로 바꾼다.
4. 3의 image6.emp파일을 1에서 만든 공개 docx파일의 media 폴더 안에 넣는다.
'Wargame > Forensic' 카테고리의 다른 글
| [문제 클론] CTF-d_Find Key(docx) (0) | 2021.05.06 |
|---|---|
| [문제 클론] CTF-d_Find Key(Image) (0) | 2021.05.06 |
| [CTF-d] 저는 이미지에서 어떤 것을… (0) | 2021.04.30 |
| [CTF-d] 모두 비밀번호를 txt파일… (0) | 2021.04.30 |
| [CTF-d] QR코드를 발견했지만… (0) | 2021.04.29 |
