티스토리 뷰

최종 수정: 2014-09-30


안녕하세요. Hackability 입니다.


이번 포스팅은 2014 SU CTF의 Forensics 40pt (Recover Deleted File) 문제 내용입니다. 문제 파일과 문제 내용은 아래와 같습니다


disk-image

Recover the disk and find the flag.


먼저 파일을 가져와 내용을 보면 ext3 filesystem 구조를 갖음을 알 수 있습니다.


binwalk 를 이용하여 내용을 확인해보면 다음과 같습니다. [binwalk link]


중간에 ELF 파일이 눈에 띄고 6개의 LZMA 데이터들이 보입니다. LZMA의 사이즈를 보면 False Positive일 확률이 높고 40점짜리 문제이기 때문에 편안한 마음으로 LZMA데이터를 포함한 바이너리를 덤프 합니다. 


dd 명령의 if 옵션은 입력 파일, of 옵션은 출력 파일, ibs 옵션은 읽을 바이트 단위, skip 옵션은 건너뛸 바이트 수를 의미합니다. binwalk를 통해 elf 파일의 위치가 0x10FC00 (1113088)임을 알았기 때문에 위와 같이 실행하면 다음과 같은 elf 파일이 떨어지게 되고, 실행 권한을 준뒤 실행 하면 다음과 같이 나타나게 됩니다.

FLAG: de6838252f95d3b9e803b28df33b4baa

댓글