[드림핵_포렌식] Enc-JPG

링크 :https://dreamhack.io/wargame/challenges/752

Enc-JPG

---

문제 설명

드림이가 JPG파일 만드는 중에 변조가 되었어요!!

JPG파일이 단단히 이상하네요…??

문제 파일이 하나 잘못생성 되었습니다. ㅠ-ㅠ

마지막 사진 플래그 글자수는 4개입니다.

DH{JPG_TXT_PNG}

#문제 이상시 말씀주세요.

---

문제 풀이

 

1. 문제 파일을 다운 받으면 enc와 flag이 있는 것을 확인할 수 있다.

 

 

2. 두 파일을 각각 HxD로 열면

Enc의 경우 4D 5A (MZ)로 시작하는 것을 볼 수 있는데, 이는 해당 파일이 윈도우 실행 파일이라는 의미다.

FLAG의 경우 원래 JPG의 헤더 시그니처는 FF D8 FF E(0/1/8)인데, 해당 파일에서는 다른 시그니처가 있는것으로 보아 문제에서 JPG 파일을 만들던 중 변조가 되었다는 문장의 의미가 이 FLAG 파일을 말하는 것으로 보인다.

 

 

3. enc가 윈도우 실행 파일이기 때문에 해당 파일의 확장자를 exe로 변환한 후 실행 시키면 flag.jpg의 이미지가 생긴 것을 확인할 수 있다.

 

4. 이미지가 잘려서 보이기 때문에 jpg의 푸터 시그니처인 "FF D9"를 검색하니 2개가 나오는 것을 볼 수 있다. 그렇기 때문에 중간 부분에 푸터 시그니처를 지우고 다시 이미지를 확인한다.

HxD를 통해 수정 후 다시 저장하면 일부 키 값을 확인할 수 있다.

 

5. 두번째 jpg 푸터 시그니처 다음에 Find the String라는 문장을 확인할 수 있고, 그 다음에 _Enc_Ecrypt라는 텍스트를 확인할 수 있는데 이 부분이 DH{JPG_TXT_PNG}의 TXT 부분이라고 추측하였다.

6. TXT 다음에 PNG를 확인할 수 있었다. 그러나 해당 부분을 추출하여 확인해도 깨져서 보였다.

그런데 중간에 _yo 를 확인했고, 이 부분이 키 값의 일부라고 추측하였다.

 

7. jpg에서 찾은 키 값과 txt 부분의 키 값, png에서 찾은 키 값을 모두 더 하니 문제가 해결 되었다.