[YISF CTF 2017 예선] For 50 , '문제유출'

순천향대학교 청소년 정보보호 페스티벌

포렌식 50점 문제

해당 문제는 용량 때문에 당일날 몇 시간전에 사전 배포되었다.

문제 내용은 대회가 끝나버리면서 스샷을 저장하지 못했다...

대회가 시작되고 공개된 비밀번호로 압축을 풀어준다.

[Forensic]Leakage of Challenges.ad1

FxD로 열어보니 

41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 00   ADSEGMENTEDFILE.

 

으로 시작한다.

AccessData의 FTK Imager 으로 열어보면 된다.

문제에 웹 브라우저를 사용했다라고 되어있었고 크롬이 설치되어 있으므로 크롬의 데이터들을 찾아 보았다.

일단 방문기록을 확인해본다.

G:\Forensic 50\Users\InJung\AppData\Local\Google\Chrome\User Data\Default

에서 History 파일에 저장되어있다.

이 파일은 DB Browser for SQLite로 열어볼 수 있다.

urls 테이블을 보면 특정 사이트로 추정되는 http://www.nonamed.xyz 를 찾을 수 있다.

해당 사이트에 들어가면 여러 게시물들이 뜬다. 

(이때 flag값을 얻을 수 있을 것이라 생각했지만...)

5번째 글은 비밀글로 되어있었다... ID와 PW를 얻기 위해 방문기록을 얻었던 같은 디렉토리에서 Login Data를 추출해서 확인을 해보았다.

ID는 얻을 수 있었지만 PW는 암호화되어 있었다.

이 암호화된 PW를 decrypt 하기 위해 많은 삽질을 했었다..

OSForensics라는 프로그램을 설치하고 비밀번호를 알아내려고 했다. 내 크롬에 저장되어있는 아이디와 비밀번호가 잘 표시되길레

문제에서 추출했던 Login Data를 내 것과 바꿔치기 해서 재시도를 해보았다. 될 것이라 생각했는데 decrypt 실패라고 떴다.

왜지..라고 생각하다가 유저폴더를 통째로 추출해서 내 컴의 유저 폴더에 집어넣고 재시도 했더니 decrypt가 되버렸다.

이렇게 얻은 ID 와 PW를 사용하여 사이트에 로그인하면 비밀글을 확인할 수 있다.

FLAG : YISF{SOme7imes_W3bBr0w5er_St0r3d_y0uR_Pa$$worD!}