Defcon20 ctf forensics 200 Writeup

by zhaoyong

f200提供了一个二进制文件,用Linux下的file工具查看文件类型是X86 boot sector文件,用WinHex打开文件,注意文件类型选择Raw Image/Container。打开文件后可以看到磁盘的详细信息和内容,磁盘文件系统为FAT16,69%的磁盘剩余空间。具体情况如下图:


分析其中的文件,有7个1.6M和1个1.7M的文件,恢复这几个文件并用二进制工具分析(当然也可以用file判断文件类型)可知有六个文件(第二个、第四个至第八个)是图片(头部格式破损,修复后可正常打开,头部前两个字节十六进制“00 00”修改为“FF D8”),第一个和第三个为疑似视频文件。

深入分析知第二个(2467)和第七个文件(53564)是显示内容相同但其二进制不同的两张图片,达到这一步距离完全解题已经不远了。在第二个文件这(图片2467)中隐藏了一个压缩文件,这个文件解压后得到一个pdf文件(98753.pdf),pdf文件中包含本题的答案(key)。

我们在图片分析这里没有走下去,解题要用stegdetect工具分析那个图片有隐藏信息,然后用outguess工具提取出隐藏信息。其中最难的一步就是要穷尽outguessd的密钥“ddtek”,解出f200的参赛者据说拥有CTF字典,利用字典穷举了密钥。

此条目发表在技术报告分类目录。将固定链接加入收藏夹。

评论功能已关闭。