문제를 확인해보면 다음과 같이 jpg 파일이 있는것을 확인할 수 있다.
하지만 열어보면
이 파일 형식은 지원되지 않는 것 같습니다. 와 같은 문구를 확인할 수 있다.
HXD로 JPG 파일을 열어보았다.
파일 헤더 부분이 50 4B 03 04로 시작하는 것을 확인할 수 있다.
다음은 대표적인 파일 시그니쳐이다.
파일 시그니쳐를 참고하여 확인해보면 JPG파일이 아닌 ZIP파일인것을 확인할 수 있다.( 보통 PK로 시작하면 ZIP파일이다.)
확장자명을 ZIP으로 교체한 후 압축해제를 한다.
다음과 같은 파일을 얻을 수 있다.
먼저 텍스트 파일을 확인해보면
JPG파일을 먼저 확인하라는 말을 확인할 수 있다.
JPG파일을 HXD를 통해 확인해보면
다음과 같은 것을 확인할 수 있는데
사실 이것만 확인해보면 아무것도 풀 수 없다.
보통 문제를 숨겨놓는 곳이 헤더부분 아니면 푸터부분이기 때문에 둘 다 확인해보았다.
다음과 같은 푸터값을 확인할 수 있다.
하지만 JPG의 푸터값은 FF D9로 사진에서는 확인할 수 없다.
FF D9를 찾아보면 다음과 같이 확인할 수 있는데
바로 뒤에 부분에 89 50 4E 74 0D 0A 1A 0A라는 PNG파일의 헤더를 확인할 수 있다.
여기서 생각해볼 수 있는 부분이 파일이 두개가 합쳐져 있다는 것을 확인할 수 있다.
두 파일을 나눠서 만들어보면
다음과 같이 두개의 파일을 확인할 수 있다.
위와 같은 이미지 스테가노그래피 복호화해주는 툴을 이용하여 복호화를 진행한다.
패스워드는 white라는 것을 확인할 수 있다.
JPG파일을 이용하여 패스워드를 확인하였으니 이제 텍스트 파일을 확인해보자
일반적으로 보면 평범한 텍스트 파일 같지만 드래그를 해보면
White space가 있는 것을 확인할 수 있다.
white space를 해독하기 위해서 snow라는 툴을 사용하였다.
툴을 사용하면 다음과 같이 쉽게 FLAG값을 확인할 수 있다.
(정말 포렌식에 흥미를 가지게하는 문제였다. 누군지 몰라도 문제를 정말 잘낸거 같다.)