SECCON Beginners CTF 2018 - Find the messages
問題文
ディスクイメージに隠されているメッセージファイルを探せ!
添付:disk.img_de4d3f06696ce78c1646ed140a0ca4e5fbe4c0aa.7z
writeup
ファイル確認。
root@kali:Find the messages# file disk.img disk.img: DOS/MBR boot sector; partition 1 : ID=0x83, start-CHS (0x0,32,33), end-CHS (0x8,40,32), startsector 2048, 129024 sectors
7zipで強制展開する。
root@kali:disk# ll -R .: 合計 0 drwxrwxrwx 1 root root 0 4月 28 02:06 '[SYS]' drwxrwxrwx 1 root root 0 4月 28 02:03 lost+found drwxrwxrwx 1 root root 0 4月 28 02:03 message1 drwxrwxrwx 1 root root 0 5月 27 17:40 message2 drwxrwxrwx 1 root root 0 4月 28 02:05 message3 './[SYS]': 合計 4096 -rwxrwxrwx 1 root root 4194304 4月 28 02:03 Journal ./lost+found: 合計 0 ./message1: 合計 1 -rwxrwxrwx 1 root root 24 4月 28 02:03 message_1_of_3.txt ./message2: 合計 14976 -rwxrwxrwx 1 root root 15334175 4月 28 02:03 message_2_of_3.png ./message3: 合計 0
part1
message1ディレクトリ配下にbase64エンコードされたとみられるファイルを発見。
デコードする。
root@kali:disk# cat message1/message_1_of_3.txt Y3RmNGJ7eTB1X3QwdWNoZWQ= root@kali:disk# base64 -d message1/message_1_of_3.txt ctf4b{y0u_t0uched
「ctf4b{y0u_t0uched」をゲット。
part2
message2ディレクトリ配下に拡張子pngのファイルを発見。
しかし破損しているようだ。
root@kali:disk# file message2/message_2_of_3.png message2/message_2_of_3.png: data
バイナリエディタで表示すると、先頭7バイトが潰されている。
pngファイルフォーマットに従って修正する。
修正したpngファイルを開くと、「a_part_0f」をゲット。
part3
7zipで強制的に展開したmessage3ディレクトリ配下には何もない。
FTK Imagerでdisk.imgを開いて観察すると、message3.pdfがあった形跡がある。
diskイメージからデータ抽出してみる。
root@kali:Find the messages# foremost disk.img Processing: disk.img |*| root@kali:Find the messages# ll -R output/ output/: 合計 1 -rwxrwxrwx 1 root root 709 5月 27 17:47 audit.txt drwxrwxrwx 1 root root 0 5月 27 17:47 pdf output/pdf: 合計 8 -rwxrwxrwx 1 root root 7355 5月 27 17:47 00018946.pdf
PDFファイルが抽出された。
「disk_image_for3nsics}」をゲット。
まとめ
得られた文字列を結合するとフラグゲット。
ctf4b{y0u_t0uched_a_part_0f_disk_image_for3nsics}