링크에 들어가 파일을 다운받고 보니 이미징 파일이었다.
.001 확장자인 이미징 파일이기 때문에 해당 이미징의 구조를 확인하기 위해 FTK Imager를 통해 확인해 볼꺼다.
-> Evidence Tree 부분에 Unrecognized file system로 파일 시스템 확장자가 인식이 안된다는 소리다.
인식이 안된다고 한다면?
-> Boot Record부분이 손상되거나 내용이 빠져있다는 소리다.
아래의 hexa값을 보면 Boot Record가 와야하는 자리에 Fix the Disk!!!!라고 적혀있는 것을 볼 수 있다.
문제 파일이 FAT라고 쓰여 있어서 FAT파일 구조를 가진 문제인 것 같아 FAT파일 구조 분석할꺼다.
(출처 :https://blog.forensicresearch.kr/13)
** FAT 파일 구조는 크게 Reserved Area, FAT Area, Data Area로 나뉜다.
그 중 Reserved Area 에는 Boot Sector, FSINFO, Boot Strap 으로 구성되어있다.
현재 FIX the Disk!!!! 가 위치하는 자리는 첫 번째 섹터에 위치해 있다.
Boot Sector는 컴퓨터 부팅을 시작하면서 필요한 데이터를 유지 관리한다.
이때 사용되는 하드 디스크 저장소 공간 섹션, 파일 액세스, 부팅 시작하는데 필요한 모든 코드가 들어있다.
FAT에는 0번, 1번, 2번, 6번, 7번, 8번에는 어떤 데이터를 담을지 미리 정해져 있다.
각 번호에 대한 담는 데이터를 찾아보니 0번 : 실 데이터, 6번 : 백업본. 담는다고 한다.
=> 지금 화면에 보이는 Fix the Disk!!!!부분이 0번이다.
그럼 아래쪽으로 내려가 6번째를 보면 뭐가 나오지 않을까 싶어 확인해보았다.
-> 6번 백업데이터 부분에 값이 들어있는 걸 확인했다.
그래서 6번에서 해당 값을 복사해서 0번에 붙여주면 되지 않을까 싶다.
> 0번에 6번의 값들을 복사해와 붙여서 저장해준다. 이제 이 이미징 파일을 다시 FTK Imager에 넣어서 확인해본다.
-> 0번 부트 섹터에 값을 수정하여 이미징 파일을 제대로 열어보니 정상적으로 열어지는 것을 확인!
이제 여기서 flag값을 찾을만한 단서를 찾아야 한다. [root]경로에서 Dreamhack경로를 찾아봐야겠다.
-> root Directory 내부에 Dreamhack이라는 폴더를 발견하였다. 파일들 하나하나 다 둘러서 확인해보던 중에 다른파일들은 정상적인 것 같았다.
-> FTK상에서 파일들을 다 미리보았으니 Dream hack 폴더 전체를 추출하여 확인해볼꺼다.
-> 해당 압축파일을 HXD에 넣어서 확인해 보았다. flag값을 찾을 수 있는 파일들이 존재하는 걸 확인하였다.
-> 우선 압축파일이 있어 풀어보려고 한다. 암호화가 걸려있었다.
-> 이 압축파일을 열 단서는 해당 추출한 Dream hack파일에만 있는 것 같아 이미지 파일들을
모두 HXD로 열어볼 예정이다.
-> Dream hack 파일에 들어있는 이미지 파일들 다 열어보니 위 형식의 쓰레기 값들만 들어있었다.
-> GG.PNG 파일의 값에서 zip key 값인 DHDHFIX의 해결 값 들어있는 걸 확인!
-> flag.txt 파일에는 없었음
->flag 값이 DH{3a5y_FAT32_r3bui1d} 인 것을 확인
Flag : DH{3a5y_FAT32_r3bui1d}
'Wargame > Dreamhack' 카테고리의 다른 글
| [System] Return Address Overwrite Write-up (0) | 2025.05.14 |
|---|---|
| [Web] php-1 Write-up (0) | 2025.05.13 |
| [Web] Ctrl-C Write-up (0) | 2025.05.13 |
| [Forensic] snowing! Write-up (0) | 2025.05.12 |
| [Forensic] Basic_Forensics_1 Write-up (0) | 2025.01.30 |