[Harekaze CTF 2018] Lost_data writeup

파일을 다운로드 받으면, 압축을 해제할수록 많은 데이터가 보입니다. 여러 메타데이터 파일들이 많아 좀 지저분하고 복잡해 보이지만, 결국 중요한 것들은 여기 보이는 data 파일들과 xxxxx 폴더 안의 파일들인 것 같으니 침착해집시다.

[침착]

우선 xxxxx 안의 정보들은 우리가 모르는 xxxxx와 관련되었다고하니 일단 넘어가도록 하고, data 안의 1, 2, 3 파일들을 살펴봅니다. 가장 먼저 실행해본 것은 binwalk를 이용하여 특정 시그니처를 찾아본 것이지만, 나오는 것은 없었슴니다. 흙. 

시그니처가 변질되었을 가능성이 있으니, 일단 hex 값을 보기로 합니다.

바이너리에서 IHDR, IDAT, IEND 가 보이는 것으로 보아 PNG 파일의 포맷을 따르고 있는 것 같습니다. PNG 파일은 IHDR, IDAT, IEND라는 Chunk들로 구성되어있습니다.

PNG 파일이었음을 깨닫고 보니, 시그니처가 PNG 파일과 닮은 것 같기도 합니다. 몇 몇 부분이 2E로 덮인 것 같은데 제대로 고쳐줘봅시다. 손목 스냅을 적절히 이용하여, 올바른 PNG 시그니처로 고쳐줍니다.

시술이 성공적으로 완료되니, 이제 어엿한 PNG로 보이는군요. 뿌듯합니다. 한 번 열어봅시다.

그렇습니다. 사실 이 파일은 순도 높은 QR코드였던 것이었습니다. 적당한 사이트로 QR 코드를 스캔해서 보면,

요런 플래그의 일부를 얻을 수 있네요. 2, 3 파일도 모두 이런 식으로 진행하다보면, 어느새 이런 적당히 플래그처럼 생긴 녀석을 얻을 수 있습니다.

HarekazeCTF{Y0u_G0t_FuNNy_F1ag_?DF?_T?_is_xxxxx}

처믕에는 이걸 얻자마자 신나서 인증하려했지만,,,, ㅎ

이제 다시 문제로 돌아갑시다. xxxxx를 뭔가 올바른 단어로 대체하라고 하네요. ...?

!이번에야말로 xxxxx.zip 에 있는 데이터들과 연관이 있는 것이 틀림없습니다! 라는 마음을 가지고 xxxxx를 살펴보았으나, 메타데이터를 제외하고는 뭐 이름만 있는 파일들이 잔뜩 있습니다. fat0 ~ fat511 까지를 보실 수 있겠습니다. 혹시나 빠진 숫자가 있는 건 아닐까하고 눈을 부릅뜨고 살펴보았지만, 512개가 제대로 있음을 확인했습니다.

여기서 뭐 이차저차하다가, 여기 있는 이름 중 하나가 xxxxx가 아닐까하는 생각이 들었습니다. x가 다섯 개이니 fat 뒤에오는 수는 두자리 수이겠네요. 게다가 또 알 수 있는 것이, fat하면 파일시스템이 떠오르지 않나요? ..FAT16, FAT24, FAT32...

그래서 바로 대입해봤더니 인증이 되었습니다.

..

..? 이상입니다.

HarekazeCTF{Y0u_G0t_FuNNy_F1ag_?DF?_T?_is_FAT16}