[CTF-D] Disk - 조개를 찾아 열고, 진주를 찾으십시오

문제

풀이 방법

img 파일이 하나 주어졌길래 우선 FTK Imager를 통해 열어보았다. 여러 폴더들을 들어가 살펴보았으나 삭제되었다거나, 의심스러워 보이는 것은 찾지 못했다.

처음에는 다른 폴더들은 비어있고, 폴더 하나에 retire.2 파일만 있길래 export 해보았으나 아무것도 없었다.

그래서 결국 HxD로 img 파일 자체를 열어보았다. 그래서 이것저것 주요한 파일들의 시그니처를 검색해보았는데 zip 파일 시그니처가 다량으로 검색되었다. 신기했던 점은 헤더 시그니처는 776개나 검색되었는데, 푸터 시그니처는 2개밖에 검색되지 않았다. (헤더와 푸터가 각각 짝지어지지 않아도 되는 건가라는 의문점이 생겼다.)

우선은 그래서 가장 첫 번째 헤더 시그니처가 있는 오프셋부터 마지막 푸터 시그니처가 있는 오프셋까지를 잘라내 zip 파일로 추출해냈다. 그랬더니 ppt > media 폴더 내부에 수많은 사진들이 있는 것을 찾아냈다!

모두 조개 사진 혹은 그와 관련된 사진들이었다. HxD를 봐도 ppt slide와 관련된 것들이 있어 보이는데 왜 FTK Imager에는 없었을까 하고 다시 찾아보니 root에 바로 삭제되었던 clam.ppt 파일이 보인다.... 다음부터는 더 주의깊게 관찰해야 겠다고 생각했다...

 

일단 이렇게 찾아낸 이미지 파일들은 형식도 다 다르고, 파일 내부 hex값을 모두 확인해봐도 특별한 것을 찾아내진 못했다. 그래서 다시 하나하나 파일 속성을 보았는데, 모든 파일들이 내가 다운받았던 시간대에 만들어졌고, 엑세스했다고 보여지는데, image0.gif 파일 하나만 과거에 수정한 날짜가 있는 것을 확인하였다.

그런데 파일 내부에 어떠한 내용이 없다고 확인했었기 때문에 한참을 헤맸다. 처음에는 분자 구조 관련된 그림인가 하고 이 그림 자체를 구글에 이미지 검색으로 검색을 해봤었는데 관련 단어로 language가 떴다...! 뭔가 싶어서 유사한 이미지 목록을 한참 찾아보던 중 Maxi Code라는 것이 있다는 걸 알게 되었다. 검색해보니 이 이미지와 매우 유사했다.

Maxi Code: 2차원 Matric 고정 크기 코드로, 컨베이어 벨트 위에서 빠르게 스캔할 수 있는 이유로 UPS가 패키지 추적 및 선적에서 사용하기 위해 개발되었다. 바코드와 유사하지만, 바 대신 도트를 사용한다.

이 이미지를 Maxicode Decoder로 해독해보니 flag를 찾을 수 있었다.

Reference

https://www.cognex.com/ko-kr/resources/symbologies/2-d-matrix-codes/maxi-codes