Enc-JPG

https://dreamhack.io/wargame/challenges/752

Enc-JPG

이번 문제는 Enc-JPG

일단 빠르게 문제를 열어보았는데,
Enc라는 파일과 flag.jpg라는 파일이 있었다.
근데 flag.jpg라는 파일이 열리지 않는 것을 보아하니 손상된 파일이다.
HxD로 열어야겠지 일단

일단 처음 열자마자 내가 아는 시그니처는 안보인다.
완전 다른 형태의 파일인지, 아니면 파일의 일부인지, 훼손된 파일인지 모르겠으나.
png, jpeg 시그니처 값을 검색해보자.

ff d8과 89 50 의 값이 없는 것을 보아하니 이미지 파일이 아닐지도 모른다는 생각이 든다.
일단 Enc파일을 FTK Imager로 확인해서 열어보았는데,

MZ 파일...
지난번에 디지털포렌식 2급 실기 시험 볼 때 디스크 이미지 분석 도중 본 적이 있는 파일이다.
MZ 파일이 뭔지 몰라서 일단 알아봄.
https://ko.wikipedia.org/wiki/MZ_%EC%8B%A4%ED%96%89_%ED%8C%8C%EC%9D%BC

MZ 실행 파일 - 위키백과, 우리 모두의 백과사전

MZ 파일에 관한 구조와 설명은 여기에 설명이 되어있네.

일단 MZ 파일은 .exe 확장자를 가져야하므로 바꿔주고 실행해보자.

오 flag가 미리보기로 보이게 되었다.
하지만 일부만 보이고 나머지는 안보이므로 무언가 더 해야한다.

flag.jpg의 hex도 완전히 많이 바뀌었다.
다시 한번 
ff d8 ~ ff d9
89 50 ~ 49 45 를 확인해보자.

순서는 
FF D8 ~ 89 50 ~ FF D9 ~ FF D9 ~ 49 45 이렇게된다.
JPG와 PNG가 겹치는 구조인듯해서 뭔가 이상하다 생각이 들어서 시그니처를 아예 다 확인해보았다.
오 전부 다 맞는 시그니처들이다.
그러면 스테가노그래피가 적용되었을지도 모른다는 생각이 드니까
FF D8~FF D9 를 2개
89 50~49 45 를 1개 해서
JPG 2개
PNG 1개 정도 뽑아내서 확인해보자.

의외다 3개의 부분적으로 뽑아낸 파일들이 미리보기로 다 보인다.
근데 문제는 3개의 파일들 전부 다 같은 이미지로 보인다.
이거 뭐지...싶어서 풀이를 봤는데....
와 이렇게 파일을 만들어낼 수가 있구나 싶었다.
앞에서 FF D9는 2번 나오게되는데 앞의 FF D9 값 2바이트를 없애고 확인해보면 부분적인 플래그 값이 나온다.

그리고 내가 문제의 플래그 형태에 대해서 잘 이해를 못하고 있었다

.JPG를 통해서 뽑아낸 부분적 플래그
TXT를 통해서 뽑아낸 부분적 플래그
PNG를 통해서 뽑아낸 부분적 플래그

이렇게 합쳐내면 최종 플래그가 나오게 된다.

음...나머지 정답은 문제가 생각보다 hex 값 안에 문자열을 숨긴다는 것 자체가...
뭔가 시간이 오래 걸리는 수작업이 있게끔한다.

dd f9 를 검색하다가 저 문자열 값을 보고 뭔가 단서가 되겠거니 했지만 저게 정답일 줄은 몰랐다...ㅋㅋㅋ

그리고 아까 전에 분리해놓은 png 파일에는 _yo라는 형태의 문자열이 발견되었다.
이걸 다 합쳐내면 답이 나온다.

JPG_TXT_PNG 형태로 합쳐내면
정답이 나오게된다.

근데 이거... 솔직하게 말하자면
이거 jpg, png, txt중에서 png랑 txt 이라는 키워드랑은 너무 먼 문제라는 생각이 든다...
결국에 그냥 hex값과 문자열 확인하면 나오는 답인데...