moon.png 파일을 열어보았다.
처음에는 LSB 스테가노그래피 문제인가 싶어서 스테가노그래피 디코딩 사이트에 사진을 넣어 확인해 보았다.
https://incoherency.co.uk/image-steganography/#unhide
Image Steganography
Each channel (red, green, blue) of each pixel in an image is represented by an 8-bit value. To hide the secret image inside the cover image, we replace the n least significant bits of the cover pixel value with the same number of most significant bits from
incoherency.co.uk
하지만 아무것도 발견되지 않았다.
그래서 HxD 프로그램으로 moon.png 파일을 열어보았다.
| - 파일 헤더 시그니쳐: 파일의 가장 처음에 위치하는 특정 바이트들로 파일 포멧을 구분하기 위해 사용한다. - 파일 푸터(footer) 시그니쳐: 파일의 마지막에 존재하는 시그니쳐이다. png 파일 헤더 시그니쳐: 89 50 4E 47 0D 0A png 파일 푸터 시그니쳐: 49 45 4E 44 AE 42 60 82 |
파일의 앞부분에는 png 파일 헤더 시그니쳐인 89 50 4E 47 0D 0A 를 확인할 수 있었고,
png 파일의 footer 시그니쳐도 검색해서 확인해 보았는데 파일의 제일 마지막 부분이 아닌 곳에 존재하는 것을 발견할 수 있었다.
http://forensic-proof.com/archives/300
파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF
forensic-proof.com
위의 블로그에서 PNG 파일 footer 다음으로 나오는 16진수를 검색해 보니
50 4B 03 04가 ZIP파일의 시그니쳐 임을 확인할 수 있었다.
따라서 PNG footer 다음으로 나오는 16진수들을 또 다른 파일인 moon.zip 파일로 저장한 후, 압축을 풀어보았다.
압축파일에 비밀번호가 걸려있어서 moon을 비밀번호로 넣었더니 압축이 해제되면서 flag.txt파일이 생성되었다.
key: sun{0kay_it_is_a_m00n}
'CTF Write-Ups > [DigitalForensic] with CTF' 카테고리의 다른 글
| [CTF-d] Multimedia_사진 속에서 빨간색이... (0) | 2020.07.13 |
|---|---|
| [CTF-d] Multimedia_브리타니아의 원더랜드... (0) | 2020.07.13 |
| [CTF-d] Multimedia_이 그림에는 뭔가 좀 수상한... (0) | 2020.07.13 |
| [CTF-d] Multimedia_거래 조건 알고 있잖아요? (0) | 2020.07.13 |
| [CTF-d] Multimedia_계속 주시해라! (0) | 2020.07.13 |
