splitted 뜻: 쪼개진
뭐가 쪼개졌나보다
7Z 파일이라는건 또 처음봐서 검색해봤는데 오픈 소스 압축 프로그램이라고 한다.
7Z 파일도 당연히 시그니처가 있단다.
| 37 7A BC AF 27 1C | 7Z | Archive – 7-Zip Archive File |
HxD로 열어보자.
7Z 파일이 맞다.
얘도 압축을 풀려면 툴이 필요해서 다운 받았다.
CTF 하면서 툴 다운로드만 엄청 하는듯
7zip file manager를 통해서 들어가보니까 splitted가 파일이 아니라 폴더로 되어있었다.
또 클릭해보니 pcap이라는 확장자가 있었음
pcap은 컴퓨터 네트워크 관리 분야에서 네트워크 트래픽 포착용 API를 구성하고 있다. 유닉스 계열 운영 체제들은 libpcap 라이브러리에 pcap을 포함하고 있다. 윈도우는 WinPcap이라는 libpcap 포팅을 이용한다.
pcap = packet capture 란다.
윈도우 시스템에서 흔히 Winpcap이라고 부르는 바로 그것..!
한 번 더 클릭하니까 flag.psd 파일이 나왔다. psd는 어도비 포토샵에서 제작된 원본 파일이란다.
일단 아까 splitted.7z 위치로 가서 압축 풀기를 해줬더니
splitted 폴더 안에 splitted.pcap이 있다. 이걸 HxD로 열어봤다.
앞에 D4C3B2A1를 검색해봤더니
winpcap capture file이라고 뜸.
보통 pcap 파일은 와이어샤크로 분석하던데 한 번 와이어샤크를 실행해봤다.
와이어샤크가.. 안깔려있길래 깔았는데 유형이 바꼈다.
열어봤는데..
계속 flag.zip 파일을 보내고 있다.
zip 시그니처가 50 4B 03 04니까 find packet으로 한 번 검색해봤다.
여기서 zip 파일 시그니처로 잡히는건
얘를 다시 ASCII 코드로 변환해보면
그 안에 있던 flag.psd도 보임..
근데 아까 wireshark 깔기 전엔 압축 풀기가 안되는거 같았는데.. 갑자기 압축 풀기가 되길래 일단 압축을 풀었다.
또 다른 splitted 폴더가 나왔다.
그리고 여기엔 flag.psd가 있다!
웹으로도 flag.psd 파일을 열 수 있는 사이트가 있길래 열어봤는데
이런 사진이 나왔다.
확대해보니까 픽셀이 하나하나 다 보였다.
----> 근데 이렇게 해도 답이 안나와서 결국 검색해봤는데.. 중간에 함정이 있던거 같다.
Wireshark에서 Content-range를 확인해보면
이렇게 다 다르게 나오는데, 이걸 순서대로 다 조합하면 되는거였다.. 그래서 문제 제목이 splitted였구나...
근데 일일이 다 확인하는게 너무 귀찮아서,,
다른 방법인 NetworkMiner를 깔아서 했다..
어떻게 이렇게 쉽게 나오냐
저기서 제일 파일 크기 큰 flag[8].zip을 압출 풀기 해주면 flag.psd 파일이 나오고
다시 https://www.photopea.com/ 에서 사진을 불러오면 flag 값이 출력된다.
flag 값: MMA{sneak_spy_sisters}
Networkminer 사용법을 좀 더 익혀야겠다.
'CTF, 워게임 문제 풀이 > CTF-d' 카테고리의 다른 글
| [Multimedia] 17. 호레이쇼가 플래그를 보며... 문제풀이 (0) | 2021.12.29 |
|---|---|
| [Multimedia] 16. 원래 의미가 없는 것들도… 문제 풀이 (0) | 2021.12.29 |
| [Multimedia] 14. Graphics Interchange Format 문제 풀이 (0) | 2021.12.29 |
| [Multimedia] 13. basics 문제 풀이 (0) | 2021.12.29 |
| [Multimedia] 12. 이 파일에서 플래그를 찾아라! 문제 풀이 (0) | 2021.12.29 |
댓글