[2021 INCOGNITO CTF Write-up] question

2021년 INCOGNITO CTF Forensic부분의 question 문제이다. 

우선, 문제를 살펴보면 question.jpg라는 그림파일 하나를 다운 받을 수 있다. 

 

 

다운받은 그림을 보면 파일 형식을 지원하지 않는다고 한다. 그러면 HxD에 이 파일을 넣어 보았다. 

 

 

파일 시그니처가 PK 압축파일로 되어있었다. jpg파일이 아니기 때문에 파일 형식을 지원하지 않는 것이었다. 그러면 제대로 이 파일을 .zip으로 압축파일 확장자 명으로 바꿔서 다시 저장하고 압축을 풀어 보았다. 

 

 

풀어진 압축 파일을 보면 XML문서도 있고, 다양한 폴더들이 있는데 이 폴더들을 하나 씩 살펴보면 word라는 파일의 media 부분에서 image1이라는 그림 파일을 하나 찾을 수 있다. 

 

 

Is this really a jpg file? tell me some words... 라는 문장이 있다. 이건 정말 jpg 파일인가? 내게 말 해봐... 라고 하는데 jpg파일이 아닌가? 해서 HxD에 또 넣어주었다. 

 

확장자명은 JFIF도 이미지 확장자 라고 한다. file type은 jpg니까 상관 없는 것 같고, 좀 더 살펴 보았다. 

 

파일의 마지막 부분에 LookatThis 라는 단어를 발견 했고, 뒤에는 암호화 되었으리라 추정되는 flag가 보인다. 아직, flag인지는 모르지만 보라고 했고, 뒤에 등호(=)가 있는 것으로 보아서는 Base64로 암호화 되어있는 것 같이 추정 되어서 디코딩 사이트를 찾아서 해독을 해 주었다. 

 

ps. 사실 등호만 보이면 무조건 base64 디코딩 사이트에 넣고 본다. 

 

 

question CLEAR!