IT 그리고 정보보안/Write-up

Codegate 2013 - Forensic(100)

plummmm 2021. 4. 12. 19:26
반응형

문제 파일을 업로드 하고 싶었지만 용량 제한이 걸려서 업로드를 하지 못했음.

문제 내용은

 

파일을 주고 거기에서 조건에 합당하는 증거를 찾아라 이말.

문제 파일을 받아서 보면, 무슨 파일인지 확장자가 없다.

그럼.. 궁금하니까 일단 ExeinfoPE 에 넣고 돌려보았다.

 

7zip 파일이라고 나온다. 그럼 당장 확장자를 주고 압축을 풀어보자.

압축을 풀면 다음과 같이 evidence.001 이라는 파일이 나온다.

 

아.. 그럼 이녀석도 Exeinfo에 넣고 돌려볼까?? 헉.

안된다. 용량이 너무 커서 못한댄다.ㅠㅠ

그럼 이 파일이 무슨 파일인지 다른 방법으로 알아보아야 한다.

 

리눅스에 file 명령이 있으니 아마 무슨 파일인지 알 수 있을 것 같다.

Ubuntu로 옮겨서 file 명령을 쳐보았다.

 

x86 boot sector; partition..

디스크가 이미지화 된 것 같다.

ftk imager를 이용하여 이녀석을 한번 열어보자. (디스크를 이미지화 하고, 이미지화 된 디스크의 내용을 볼 수 있고, 마운팅도 가능)

열어서 확인해보니.. *.app 확장자가 있는걸 보니 (아이폰 앱 프로젝트 디렉토리 라고함)

아이폰의 디스크 이미지 파일인 것 같다.

 

우리가 찾는 증거가.. 내부자료를 외부에 업로드 한 것과 관련이 있으니 dropbox 이녀석을 유심히 보아야 할 것이다.

dropbox를 뒤지다 보니.. library 폴더 안에서 스냅샷을 찍은 걸 발견하였다.

 

s-company security 라고 적혀 있는 것을 보니 아마 저게 유출된 기밀 문서 인듯하다.

그럼 다시 문제로 돌아가 보자..

유출된 파일의 업로드된 최종 시간, 수정된 시간, 파일 이름, 파일 사이즈를 알아야 한다.

이 정보들이 들어 있을만한 곳이 어디있을까..

 

dropbox 파일에 대한 정보가 들어있는 DB파일을 찾아보기로 한다.

어,.. documents 디렉토리에 바로 dropbox.sqlite 파일이 있다.

이 파일을 sqlite database browser를 이용하여 열어보자.

 

오.. 찾았다.

S-Companysecurity.pdf 파일의  ZMODIFIEDDATE: 378291354 그리고 앞쪽에 짤렸지만 파일 사이즈 ZSIZE : 2249192 가 있다.

근데 수정날짜, 파일 사이즈 그외 정보는 알 수가 없다.

수정 날짜 조차 뭐 이상하다.

또 다른 곳을 뒤져 봐야 한다. 업로드 작업을 하였으니 캐쉬에 그 내용이 저장되어 있지 않을까해서 찾아봤다.

cache.db 라는 파일이다. 마찬가지로 sqlite database browser에 넣어서 돌려보았다.

 

아까 S-Companysecurity.pdf 가 있던 경로가 tim_folder 하위 였다.

아 폴더 내용을 한번 보았다.

 

plist 파일이 base64 인코딩 된 채로 나와있었다.

굴하지 않고 이놈을 바로 plist editor에 돌렸다.

 

list view에서 key값 root를 타고 들어가니 정상적인 코드가 나왔다.

그 코드에서 잽싸게 S-Companysecurity.pdf 이놈을 검색했다.

 

검색을 하니까 이렇게 앞뒤로 테그에 무슨 값들이 저장되어 있다.

 

 

S-Companysecurity.pdf 전후에 NS.time 및 2.1MB라는 단어가있다. NS.time 내용은 뒤에 쪽에도 있지만 

앞의 NS.time은 378291354은 Dropbox.sqlite의 MODIFIEDDATE도 일치한다. 수정한 날짜를 나타내는 것이다.

대충 이렇게 생긴게 타임스템프 값이라는 것을 이제 알 수 있다.

 

그럼 뒷쪽에 있는 값이 아마 파일 업로드 시간이 될 것이다. 3575547987

 

이제 이 시간을 지정된 시간 형식으로 변환한다.

 

357554798 in Mac time stamp : 2012-05-01 17:46:38

378291354 in Mac time stamp : 2012-12-27 17:55:54

 

 

2012-12-27 17:55:54_2012-05-01 17:46:38_S-Companysecurity.pdf_2.1MB

 

반응형
저작자표시 비영리 변경금지

'IT 그리고 정보보안 > Write-up' 카테고리의 다른 글

Codegate 2013 - Web(100)  (0) 2021.04.12
Pwnable.kr - fd  (0) 2021.04.12
LOB Level 20 (xavius)  (0) 2021.04.12
LOB Level 19 (nightmare)  (0) 2021.04.12
LOB Level 18 (succubus)  (0) 2021.04.12

'IT 그리고 정보보안/Write-up'의 다른글

  • 현재글Codegate 2013 - Forensic(100)

관련글

댓글

티스토리툴바