-
[SuNiNaTaS] Game 32 풀이 (FAT file system)Wargame 2024. 4. 8. 17:12
문제
신입 직원이 Hex Editor로 USB 이미지를 손상시켰다고 한다.
[File System] FAT 32 이론 및 수동 분석
1. 실습 환경 VersionHost PCWindows 7 64bitGuest PCWindows xp sp2Hex EditorHxDPerl CodingEdit Plus3[표 1-1] 실습 환경 2. FAT 32 개요 File Allocation Table 이라는 파일 시스템으로 Windows 기반의 주로 작은 용량의 HDD에서 사용
hyd3.tistory.com
FAT32의 구조에 대해서는 위 블로그 글을 참고하였다.
풀이
어디가 손상되었는지 알기 위해 HxD로 열어보았다. 일단 Boot record는 정상적이어 보인다.
Boot record를 보니 6번 섹터에 Boot record 값이 백업되어 있다고 한다. Boot record가 손상되었는지 확인하기 위해 백업 영역으로 가보았다.
그런데 6번 섹터로 가보니 Boot record가 백업되어 있기는 한데, 밑 Reserved Area부분이 다르다. 게다가 백업 부분이 제대로 6번 섹터에 들어가 있지 않다. 이 부분을 전체 복사하여 Boot record를 원상복구 시켰다.
이렇게 수정하고, FTK Imager로 열어보았으나 아직도 열리지 않는다. 다시 6번 섹터를 보았더니 여전히 백업 부분이 6번 섹터에 잘 들어가 있지 않다.
앞에 0x00 값을 추가하여 값이 6번 섹터에 쏙 들어가게 수정해주었다.
그리고 FTK Imager로 열어보았더니 잘 열린다! 이제 USB에 저장된 파일들을 살펴보자.
관광지, 대학교, 중앙부처들에 대한 사진이 저장되어 있다.
그중에서 우리가 알아야 하는 것은 다음 테러에 대한 정보이다. 바로 2차 테러 계획.hwp라는 파일이 보여 export 하고 열어보았다.
2차 테러 계획에 대한 정보들이 적혀있다. 그런데 Lowercase(MD5(2016-05-30_02:44:02_Rose Park))를 넣어보아도 정답이 아니라고 한다. 다시 문제를 읽어보니 UTC+9 기준으로 정답을 입력하라고 한다. 그래서 시간 부분에 9시간을 더해 다시 계산해 보았더니 풀렸다.
🚩flag: Lowercase(MD5(2016-05-30_11:44:02_Rose Park)) = 8ce84f2f0568e3c70665167d44e53c2a
'Wargame' 카테고리의 다른 글
[Dreamhack] lolololologfile 풀이 (0) 2024.04.12 [Dreamhack] Windows Search 풀이 (윈도우 포렌식) (0) 2024.04.10 [Dreamhack] FFFFAAAATTT 풀이 (FAT file system) (0) 2024.04.08 [SuNiNaTaS] Game 30 풀이 (Memory Forensic) (0) 2024.04.04 [XCZ.KR] Prob24 풀이 (Memory Forensic) (0) 2024.04.04