압축을 풀면 파일이 하나 나온다.
[Forensic] Leakage of confidential Project.E01
hex로 보았을 때 for 50 문제와는 다르지만 문제에서 이미지 파일이라고 했기 때문에 이번에도 Access Data 의 FTK Imager로 열어보았다.
정상적으로 열렸다. 유저가 '박코드' 라는 사람이라서 유저폴더에 OxCODE 폴더에 들어간다.
메세지를 주고받는 프로그램들을 모두 살펴보아야 하는데 윈도우 기본 앱이라고 해도 감을 못잡았다가 나중에 메일 앱이라는 힌트를 보고 메일이 저장되는 경로를 검색해 보았다.
메일 앱의 메일은 Users\[유저이름]\Local\Comms\Unistore\data\3 폴더에 저장된다고 한다.
해당 경로로이동하면 a 부터 p 까지의 이름이 붙은 폴더들이 존재하고 그 중 a,d,e,g,h,j,k,m,n,p 폴더에 .dat 확장자를 가진 파일이 있다.
xml로 보면 될거 같아 확장자명을 xml로 바꾸고 인터넷 브라우저로 보았다. 그러면 데이터가 한글로 바뀌여서 읽을 수 있게 된다.
그러나 창에 뜬 내용만으로는 부족하거나 표시가 안되기도 하기 때문에 소스보기로 내용을 봐야 한다. 그러면 저장된 내용을 다 확인할 수 있다.
n폴더에 담긴 내용에 프로젝트 파일 다운로드 링크가 있으며
p폴더에 파일을 열 비밀번호가 있다. 비밀번호를 이용하여 문서를 열어보면 맨 밑에 FLAG가 있다.
FLAG : YISF{S0ME_W1ND0WS_4PP_HA5_EVIDENC3_A8OUT_U5ER'S_BEHAVI0R}
'CTF Write Up' 카테고리의 다른 글
| CRC CTF 2017 Write-up (0) | 2017.09.13 |
|---|---|
| Tokyo Westerns CTF 3rd 2017 write up (0) | 2017.09.04 |
| [YISF CTF 2017 예선] For 50 , '문제유출' (0) | 2017.08.11 |
| [Bugs_Bunny CTF] Crypto-50 (0) | 2017.07.31 |
| [Bugs_Bunny CTF 2017] Crypto-15 (0) | 2017.07.31 |