[HackCTF-Forensic#6] 나는 해귀다 - 150 points

HackCTF Forensic 6번째 문제는 "나는 해귀다"이다.

첨부파일로 주어진 압축 파일을 해제하면 아래와 같은 사진 파일이 들어있다. 

waytogo.png 파일

유명한 밈을 활용한 사진과 문구가 보인다. hex 값을 뒤집어 놨다는 것이 보여서 HxD로 분석을 진행했다. 분석 전에는 이 문제처럼 PNG 모든 헥스 값이 뒤집어서 저장이 되어 있을까 싶었다.

waytogo.png 구조

얼핏 구조를 봤을 때는 전혀 이상이 없어 보인다. 하지만 이 사진의 용량이 637KB였고 보통 png 파일보다 용량이 다소 큰 것을 고려했을 때 다른 사진 파일이 뒤집어져 저장되어 있을까 싶어서 PNG footer signature를 검색했다.

표면적으로 보이는 사진 파일 뒤에 다른 png 파일 하나가 더 삽입되어 있었음.

표면적으로 보이는 waytogo.png 이미지 속에 또 다른 png가 존재하는 것을 확인할 수 있었다. 그리고 이 png 파일의 경우, 헥스 값이 거꾸로 저장되어 있었다. 이를 이제 다시 원상 복구하기 위한 코드를 짜주면 될 것 같다.

Visual Studio Code로 파일 바이너리 값을 거꾸로 저장하는 코드 작성하여 실행

HxD에서 뒤집어진 파일 부분을 복사해서 따로 새로운 파일로 저장했다. (wayt0g0.png 파일)

이후 위의 코드를 작성하여 파일 바이너리를 거꾸로 저장해서 wayt0g02.png 파일로 추출했다.

추출한 wayt0g02.png 파일

추출한 파일을 보면 역시 뒤집혀있다. 이를 적절히 뒤집어서 플래그를 알아내자. 플래그 알아내는 부분은 각자 해 보시기를 바랍니다. 혹시 모르니 아래에 흰색 글씨로 써 두겠습니다. (드래그하시면 보입니다.)

HackCTF{Y0u_tu2n3d_th3_$t@ge_u95ide_d0wn!}