728x90
1. arsenal과 r-studio를 이용하여 파일 복구
2. root/users/badguy/Desktop에서 jjjjammminnn.png와 kiruru.jpg 파일 발견
jjjjammminnn.png에서 거래 날짜 0A.0A 확인
3. 사진에서 가려진 부분이 있음.
HxD로 파일 오픈 하니 zip 파일의 헤더 시그니처인 50 4B 03 04와 푸터 시그니처인 50 4B 05 06 발견
→ (ZIP 파일 추출, ZIP 파일 내부에서 키루루의 가계부 엑셀 파일 발견)
4. 엑셀 파일 내부를 보면 8행과 F열이 숨겨져 있는 것을 볼 수 있다.
숨기기 취소를 하고 전체 셀을 선택 후 글자색을 검정색으로 바꾸면 00000이라는 금액을 확인할 수 있다. 가계부에 적힌 금액이기에 거래 금액임을 확인 가능하다.
5. kiruru.jpg의 속성을 보면 위도와 경도를 확인할 수 있다.
EXIF 파일은 카메라 설정, 시간 및 날짜, 사진을 찍은 위치 등 사진에 대한 특정 정보를 제공하는 데이터 스토리지의 한 형태이기에 위도와 경도가 사진이 찍힌 장소임을 알 수 있다.
위도와 경도를 구글 지도에 검색하면 디지털관이 거래 장소임을 알 수 있다.
6. 위에서 나온 날짜, 금액, 장소를 합치면 FLAG 획득 가능
728x90
'CTF' 카테고리의 다른 글
| [드림핵_웹 해킹]devtools-sources (0) | 2024.09.29 |
|---|---|
| [WHS2 CTF_포렌식] BadGuy1 (0) | 2024.06.11 |
| [드림핵_포렌식] Reversing Basic Challenge #1 (0) | 2024.05.20 |
| [드림핵_포렌식] Reversing Basic Challenge #0 (0) | 2024.05.20 |
| [picoCTF_포렌식] information (0) | 2024.02.17 |