[Multimedia] 25. 이 그림에는 뭔가 좀 수상한... 문제풀이

이 그림에는 뭔가 좀 수상한 점이 있습니다. 저희를 도와주신다면 점수를 드리겠습니다. 플래그를 찾아주세요!
KEY Format : ABCTF{(key)}

 

 

 

 

귀여운 보라젤리가 보인다~

 

 

사진에 수상한 점이 있다고 했으니 늘 그랬듯이 하나하나 뜯어보자.

 

 

 

속성값을 보니 사진 크기가 조금 크고 용량이 2.24MB이다.

 

 

 

 

HxD로 보니 정상적인 PNG 파일인 것도 확인할 수 있다.

 

 

가로나 세로 부분에 플래그 값을 숨겨놨나 싶어 가로 세로 길이를 늘여봤는데 딱히 그런건 없었다.

 

 

 

forensically도 해봤는데 안보임ㅋ

 

stegsolve로도 해보려니까 사진이 너무 커서 느리더라;

 

 

 

 

이미지 스테가노그래피 사이트도 해 봄. 보라젤리 왜이렇게 징그러운거야

 

 

 

근데 HxD를 다시 봤을때 푸터 값에 49 45 4E 44 까지만 있고 AE 42 60 82가 없길래 이걸 추가해줬는데 사진에선 별 차이가 나타나지 않았다.

 

흠

 

고민.. 고민.. 고민..하다가

 

혹시 png 파일 말고 다른 확장자 파일을 숨겨놨나?라는 생각이 들었다.

 

jpg 파일이 FF D8 FF ~로 시작하는데 이 값을 검색해보니까

 

 

 

헐 나온다 ;;; jfif 파일이라 FF D8 FF E0 xx xx 4A 46로 시작한다. 얘는 푸터가 FF D9이기 때문에 FF D8~부터 FF D9까지를 복사해서 따로 저장해보자.

 

 

 

 

아 지정한 부분만 저장해야되는데 계속 다른 이름으로 저장 눌러버려서 답이 안나왔다 ^^;;

 

 

 

이렇게 나왔고, 리눅스로 하면 또 다른 툴을 사용할 수 있어서 그 방법으로도 해봤다.

 

 

---

 

binwalk랑 foremost 명령어를 사용해주면 되는데

 

 

 

binwalk를 먼저 사용해봤다. 설치하는데 5분 정도 시간이 걸렸음. 사용법은 간단한데, 그냥 binwalk 뒤에 파일 이름을 확장자와 함께 적어주면 된다. 얘는 펌웨어 파일 구성을 분석할 수 있는 툴이라고 함. 보니까 우리가 앞에서 추출했던 JPEG 이미지 파일이 보인다. 

 

그 다음으로, 데이터 복구를 위한 카빙 툴인 foremost를 사용해보자. 

 

 

foremost PurpleThing.png

 

-> output 이라는 폴더 안에 들어있음

 

 

 

문제 클리어~~

 

^^;; 근데 0인지 o인지 O인지 헷갈려서 한참 시도했다.

 

flag값: ABCTF{PNG_S0_COO1}