HackCTF Forensics Writeup (세상에서 잊혀진 날 찾아줘!)
문제
세상에서 잊혀진 날 찾아달라고 한다. 찾아주러 가봅시다. 문제 파일은 pdf이다.
풀이
pdf 파일을 열면 이런 화면이 나온다. 파일을 받아주자.
이제 헥스 에디터로 열어보도록 하자. 헥스에디터로 열고 우선 pdf는 사진 파일을 원본 그대로 삽입해 놓는 형식으로 관리를 한다.(?)
대충 무슨 소리냐면 jpg 파일이 들어가면 jpg헤더부터 푸터까지 데이터가 들어가 있다는 뜻이다.
그럼 이 부분을 없애주면?
사진이 사라지고 사진으로 가려진 내용이 나오게 된다.
대충 정리해보자면
- pdf는 사진 파일이 원본 그대로 들어가있다.
- jpg 헤더부터 푸터까지 데이터를 없애주면 pdf에서 사진이 사라진다
- 사진으로 가려졌던 pdf 파일 속 내용이 나온다.
정도가 되겠다.
보면 jpg의 헤더인 FF D8과 그 뒷부분에 문자열 JFIF가 있는 것을 확인하여 jpg 사진 파일이 들어가있는것을 확인하였다.
그 뒤 FF D9를 검색하여 푸터를 찾고 이 부분을 제거해주었다.
Flag!!
꼼수
사실 이 문제는 꼼수가 존재한다. 그냥 Ctrl + A를 누르고 복붙하면 플래그가 나온다. Ctrl + A는 모든 내용 선택 단축키이다.
사진을 보면 드래그 된 부분이 보일 것이다. ㅋㅋㅋ;;