문제) FIXFIXFIX! FFFAAATTT!
(문제파일 다운로드에서 받지 마시고, 아래의 링크를 통해서 문제파일을 다운받으시기 바랍니다.)
문제파일 : https://drive.google.com/file/d/17ESNJryAYuHa3M5GiBIb9r2JNhXLqKBa/view?usp=sharing
FFFFAAAATTTT.001
drive.google.com
문제와 함께 파일이 하나 주어진다.
문제를 읽었을 때 FAT32 File System 관련 문제임을 알수있고, 부트레코드 관련 문제일거라 추측할 수 있다.
파일을 받아 HxD로 열어보면 (기타설정 - 디스크 이미지 열기 - 512 선택)
시스템 이미지 파일임을 확인할 수 있다.
문제는 섹터0 부분에 Fix the Disk!! 라는 문자열이 들어가있어 정상 인식이 불가능한것으로 보인다.
더 자세한 정보를 얻기위해 FTK imager Tool을 사용해 파일을 열어보았다.
동일하게 파일시스템을 인식하지 못한다. 보통 이럴경우 부트레코드의 변조나 손상이 주된 이유다.
부트레코드란, 컴퓨터 부팅을 시작하는 데 필요한 데이터를 유지 관리하는 데 사용되는 하드 디스크의
저장소 공간 섹션이다. 일반적으로 부팅 레코드는 하드 드라이브의 첫 번째 섹터에 보관되므로
시스템이 응용 프로그램을 시작하는 데 필요한 파일을 쉽게 찾고 읽고 실행할 수 있다.
파일에 액세스하고 부팅을 시작하는 데 필요한 모든 코드는 마스터 부팅 레코드에 포함된다.
다시 HxD로 돌아가 BR을 찾아보기로 했다.
보통 FAT32 시스템 이미지의 백업 BR는 섹터 6번에 위치하고 있다.
이 BR을 복사해 적절한 위치에 삽입해주면 인식이 될것으로 보인다.
적절한 위치는 Fix the Disk!!가 도배되어있던 섹터0 영역이다.
보통의 시스템 부트레코드는 섹터0 영역에 위치한다.
섹터6 영역에 있던 BR을 복사해 섹터0 영역에 덮어씌우고 저장한다.
이제 저장한 파일을 FTK imager를 사용해 열어보았다.
아까와는 다르게 파일시스템 (FAT32) 과 시스템 내부 폴더, 파일들을 정상적으로 확인할 수 있다.
내부를 살펴보던중 root Directory 내부에 Dreamhack이라는 폴더를 발견할 수 있었다.
Dreamhack 폴더를 열어보니 jpeg, png, zip 파일 등이 있었고,
FTK의 Export files 기능을 사용해 Dreamhack 폴더를 추출하였다.
그 중 noway!.zip 파일을 열어보니 파일은 손상되었지만 부분적인 접근은 가능했다.
noway!.zip 파일 내부 noway! 폴더에 들어가보니 FLAG가 존재할법한 .txt 파일들이 있었다.
하지만 해당 파일들에는 암호가 설정되어 있었다.
암호를 찾기위해 파일시스템 내부의 파일들을 살펴보던 와중,
앞서 추출한 그림 파일들에 의심이 가 HxD로 열어보았다.
그림 파일 중 GG.PNG 파일을 열어보니 zip 파일의 비밀번호를 획득할 수 있었다.
얻은 비밀번호로 noway!.zip 파일 내부 FINISH_FIX.txt 파일을 열어보니
FLAG를 확인할 수 있었다.
