disk.flag.img.gz의 gzip 파일을 준다.
file disk.flag.img.gz
disk.flag.img.gz: gzip compressed data, was "disk.flag.img", last modified: Sat Feb 17 22:59:04 2024, from Unix, original size modulo 2^32 1073741824
압축을 풀면 disk.flag.img라는 파일이다.
file disk.flag.img
disk.flag.img: DOS/MBR boot sector; partition 1 : ID=0x83, active, start-CHS (0x0,32,33), end-CHS (0x26,94,56), startsector 2048, 614400 sectors; partition 2 : ID=0x82, start-CHS (0x26,94,57), end-CHS (0x47,1,58), startsector 616448, 524288 sectors; partition 3 : ID=0x83, start-CHS (0x47,1,59), end-CHS (0x82,138,8), startsector 1140736, 956416 sectors
원래 같았으면 strings로 flag를 찾을 수 있을 텐데 이번에는 flag가 나오지 않았다.
strings disk.flag.img | grep -o picoCTF{.*}
어떻게 해야할지 고민하다가 답을 봤는데 autopsy라는 툴을 설치하라고 알려준다. 설치법이 워낙 복잡해서 autopsy의 공식 사이트에서 설치하는 것보다는 brew로 설치하는 게 속이 편하다.
brew install autopsy
autopsy를 설치하면 localhost의 9999번 포트로 html 파일을 띄우면 autopsy가 실행된다.
autopsy에서 우리의 disk.flag.img를 검사하면 innocuous(무해한)이 있다.
grep으로 innocuous만 disk.flag.img에서 골라내면 flag와 관련된 것들이 있다.
grep innocuous -a disk.flag.img
.�
force-wait.sh4(innocuous-file.txt5�its-all-in-the-name
�f���
x�����`t�J5V��ץ�4�h���]2��+6�\HJH�^ (j`w��J뵭���ʯ��b�B6@X5�VP�T�%\���}�sfw6H��|��<��@f�̹�罟��y��
7�bW�$!�����h�����uB�~g_�W��m��eu9�oT9�=d�ߐ?�CF�iE�1�.sw��n��f�����s�=���H�=l4l��zw��'�O�����*�����J�Ci��۲��m��o�� ����NeG�njG��JhǦ�� �9��r����ޕ�\�U.^�{<J��n�!��O�J�SM65'E:�Dٷ�æ,�����*|��*���k|��0R_�qH��b�2�C-�+����N��m�R/�����%�Sx�,[
9��3��u盏i�:3K�]�ݛ ,��n*��ajI����q<��|I��
���;t09L0�2��)���q���}i�t�4C�>CVޞ&����j~��K���y�u%xn
�{��:1p�0�ok���H��{��K�qC�g�g�g��g�����V���d�S9hS�65��j�9��3ga8�����&0k#�M�>)�GeՇЃ���5�_K��g�1���}�ET���-W8�k=(�k6NX��X�=�P8W�;�
�x���� ����������՚�e���2
.�
force-wait.sh4�innocuous-file.txt
�� ��`I
]�epysepyse/bin/busybox�mE�� B�� n�� n��!cpyse� n���
pysepysepyse/bin/busyboxO}���O �
� n�� n�� n�pyse� n���
pysepysepyse/bin/busybox��O�z^ �*� n�� n�� n�pyse� n���
��epysepyse/bin/busybox �;��� DŽ� n�� n�����pyse� n��;9�ٻ�|e��9p�"�;9� ��~��
�x���� ����������՚�e���2
.�
force-wait.sh4innocuous-file.txt5�original-filename
�]����;9�!�Ǧe��4��I�;9�")���㋀��^�e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh48innocuous-file.txt5�pic
މ�Gɤ���e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh4innocuous-file.txt5�oCT
�7�#����e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh4(innocuous-file.txt5�F{1
�j�Tn����e�e��e
�x���� ����������՚�e���2
.�
force-wait.sh4innocuous-file.txt5�_53
��c�^����eD�e��e
�x���� ����������՚�e���2
.�
force-wait.sh4(innocuous-file.txt5�3_n
ޤ����e]�e��e
�x���� ����������՚�e���2
.�
force-wait.sh4innocuous-file.txt5�4m3
��|�����ev�e��e
�x���� ����������՚�e���2
.�
force-wait.sh4(innocuous-file.txt5�5_8
ޭ�B����e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh4innocuous-file.txt5�0d2
�'�;�����e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh4(innocuous-file.txt5�4b3
ބ�3g����e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh4innocuous-file.txt5�0}
�1�"����e��e��e
�x���� ����������՚�e���2
.�
force-wait.sh4(innocuous-file.txt5�its-all-in-the-name
�f�⤁��e�e��e
자세히 보면 pic, oCT 등 3글자로 flag가 나눠진 것을 볼 수 있다. 3 글자씩 다 합지면 flag가 나온다.
I see names(이름을 볼 수 있다)라는 뜻의 flag가 나온다.
picoCTF{1_533_n4m35_80d24b30}
sleuthkit, autopsy를 여태까지 두번 써 봐서 그런지 매우 낯설다. 나중에 좀 익숙해지면 sleuthkit, autopsy 사용하는 법을 상세히 적어놓아야겠다. 오늘은 일단 이 정도로 작성하는 것으로...
'picoCTF' 카테고리의 다른 글
| Blast from the past (1) | 2024.11.10 |
|---|---|
| Who are you? (3) | 2024.11.09 |
| No Sql Injection (4) | 2024.11.07 |
| ASCII Numbers (3) | 2024.11.06 |
| weirdSnake (0) | 2024.11.06 |
