혜지와 콩나무

SYSTEM 파일이 주어졌습니다.SYSTEM 파일을 RegRipper를 이용해 분석했습니다. 서비스 관련 파일을 봐야하기 때문에 services 플러그인을 사용해서 결과를 출력해보았고, 양이 너무 많아서 txt 파일로 리다이렉션해 생성해주었습니다. 이렇게 생성된 txt 파일을 위에서부터 찬찬히 살펴보니, FLAG처럼 생긴 모양이 등장해 발견했습니다.

처음 들어보는 RDP 데이터와 관한 파일이 주어졌습니다.우선 RDP가 뭔지 알아봐야겠다 싶어 무작정 검색했습니다. https://medium.com/@ronald.craft/blind-forensics-with-the-rdp-bitmap-cache-16e0c202f91c Blind Forensics with the RDP Bitmap CacheIntroductionmedium.com 이렇게 RDP 비트맵 캐시와 관련된 블로그를 찾아서 BMC 도구를 사용하기로 결정했습니다. 다운받고, 명령어를 통해 Cache000_parsed 폴더에 개별 타일을 만들었습니다. 해당 폴더를 열어보니 이렇게 이미지 타일들이 존재했습니다.이 사진들을 잘 조합해서, 그 안에서 flag를 발견할 수 있었습니다!

pdf 파일이 다운로드 된다.  HxD에 올려보고, pdf stream dumper에도 올려보았다.  하나하나 누르면서 내리다보면 이렇게 뜨는 페이지가 있다.base64로 위에 있는 암호문을 복호화하라는 의미이다.그래서 처음에 https://www.base64decode.org/ko/ 이 사이트에서 디코딩을 시도했다. 나는는 여기까지밖에 못풀었었다. 이후에 스터디하면서 디코딩된 데이터가 PK로 시작되니, 이것을 그대로 파일로 만들어보면 된다는 점을 알게되었다.https://gchq.github.io/CyberChef/ CyberChef gchq.github.io이 사이트를 이용했다.  Output 옆의 저장 모양을 눌러서 파일을 다운 받았다. 다운로드된 파일을 열어서 살펴보면, flag가 등장한다.

일단 처음에 엄청 헤맸다.멘토님이 알려주신 여러 사이트에 다 넣고 이것 저것 만져봤는데 아무런 힌트도 얻을 수 없었다.아래는 시도해본 스테가노그래피 사이트들이다.https://stegonline.georgeom.net/checklisthttps://stylesuxx.github.io/steganography/https://futureboy.us/stegano/결국 처음으로 돌아가 HxD에 올려두고 파일 구조를 살펴보기로 했다.jpg는 웹에서 표준으로 사용되는 그래픽 파일의 확장자로, JPEG 압축 방식을 이용하여 압축한 이미지 파일에 사용하는 파일 확장명이다. JPEG 파일 구조는 다음으로 구성된다. 참고(https://nightohl.tistory.com/entry/JPEG-%ED%97%A4%EB%8D..

png 파일을 다운로드 받으면 위와 같은 이미지가 나온다.HxD 툴에 올려보았다.  문제에서 Something is broken 이라길래 png 파일 구조에서 무언가 어긋난 부분이 있는지 확인해보았다.  PNG 파일의 기본 구조에 대한 설명이다.특별히 눈에 띄는 건 없었다.  대신 HxD에서 사이즈 부분을 조절해주었더니 다음과 같이 png 이미지가 변경되는 것을 확인할 수 있었다.

png 파일을 다운받으면 위와 같은 이미지가 뜬다. 사진 조정 기능으로 이리저리 바꿔서 최대한 QR코드가 잘 드러나도록 했다. QRazyBox - QR Code Analysis and Recovery Toolkit merri.cx 해당 사이트에서 QR 코드를 복구했다. 이 상태여도 QR코드 스캔하면 바로 나왔다.

제일 기초 문제이다. 간단한 사진 조정 기능으로 해결할 수 있다.

문제에서 주어진 이미지 파일을 다운 받으면 이렇게 나온다. HxD라는 툴을 이용해 이미지 파일을 열어보았다. 디코딩된 텍스트를 자세히 보면 찾을 수 있다.