こんとろーるしーこんとろーるぶい

週末にカチャカチャッターン!したことを貼り付けていくブログ

SECCON Beginners CTF 2018 - Find the messages

問題文

ディスクイメージに隠されているメッセージファイルを探せ!
添付:disk.img_de4d3f06696ce78c1646ed140a0ca4e5fbe4c0aa.7z

writeup

ファイル確認。

root@kali:Find the messages# file disk.img
disk.img: DOS/MBR boot sector; partition 1 : ID=0x83, start-CHS (0x0,32,33), end-CHS (0x8,40,32), startsector 2048, 129024 sectors

7zipで強制展開する。

root@kali:disk# ll -R
.:
合計 0
drwxrwxrwx 1 root root 0  4月 28 02:06 '[SYS]'
drwxrwxrwx 1 root root 0  4月 28 02:03  lost+found
drwxrwxrwx 1 root root 0  4月 28 02:03  message1
drwxrwxrwx 1 root root 0  5月 27 17:40  message2
drwxrwxrwx 1 root root 0  4月 28 02:05  message3

'./[SYS]':
合計 4096
-rwxrwxrwx 1 root root 4194304  4月 28 02:03 Journal

./lost+found:
合計 0

./message1:
合計 1
-rwxrwxrwx 1 root root 24  4月 28 02:03 message_1_of_3.txt

./message2:
合計 14976
-rwxrwxrwx 1 root root 15334175  4月 28 02:03 message_2_of_3.png

./message3:
合計 0

part1

message1ディレクトリ配下にbase64エンコードされたとみられるファイルを発見。
デコードする。

root@kali:disk# cat message1/message_1_of_3.txt 
Y3RmNGJ7eTB1X3QwdWNoZWQ= 
root@kali:disk# base64 -d message1/message_1_of_3.txt 
ctf4b{y0u_t0uched

「ctf4b{y0u_t0uched」をゲット。

part2

message2ディレクトリ配下に拡張子pngのファイルを発見。
しかし破損しているようだ。

root@kali:disk# file message2/message_2_of_3.png 
message2/message_2_of_3.png: data

バイナリエディタで表示すると、先頭7バイトが潰されている。 f:id:graneed:20180527174527p:plain

pngファイルフォーマットに従って修正する。 f:id:graneed:20180527174541p:plain

修正したpngファイルを開くと、「a_part_0f」をゲット。

part3

7zipで強制的に展開したmessage3ディレクトリ配下には何もない。
FTK Imagerでdisk.imgを開いて観察すると、message3.pdfがあった形跡がある。

diskイメージからデータ抽出してみる。

root@kali:Find the messages# foremost disk.img
Processing: disk.img
|*|
root@kali:Find the messages# ll -R output/
output/:
合計 1
-rwxrwxrwx 1 root root 709  5月 27 17:47 audit.txt
drwxrwxrwx 1 root root   0  5月 27 17:47 pdf

output/pdf:
合計 8
-rwxrwxrwx 1 root root 7355  5月 27 17:47 00018946.pdf

PDFファイルが抽出された。 f:id:graneed:20180527175025p:plain

「disk_image_for3nsics}」をゲット。

まとめ

得られた文字列を結合するとフラグゲット。
ctf4b{y0u_t0uched_a_part_0f_disk_image_for3nsics}