[Multimedia] Find Key(docx)

[문제]

 

---

[풀이]

2013_CodeGate_F300-find_key.docx 파일을 열어보면 3장의 그림이 보인다.

hxd로 파일을 열어보면 docx의 파일구조가 압축파일 형태인것을 알 수 있다.

왜냐면 zip과 docx는 모두 헤더가 50 4B 03 04, zip의 중간 헤더는 50 4B 01 02인데,

헤더와 중간 헤더를 확인해보면 모두 zip파일 형태이다.

 

docx파일을 압축한 후, 다시 압축을 풀어준다.

압축을 다시 풀어주는 이유는 혹시 숨겨진 파일이 있을까 싶어서다.

 

압축을 풀고 확인해보면 여러 image 파일들이 보인다.

 

file 명령어를 통해 확장자들을 확인해보니 image6.emf가 유독 눈에 띈다.

다른 image 파일들은 jpeg, emf의 올바른 파일 형식인 반면,

image6.emf만 Microsoft Word 2007+ 라고 적혀있기 때문이다.

 

그래서 다시 hxd로 파일들을 열어보니

image2.emf는 헤더가 01 00 00 00

 

image4.emf도 마찬가지로 헤더가 01 00 00 00으로

emf의 헤더 시그니처를 잘 가지고 있는 것에 비해

 

image6.emf만 50 4B 03 04로 docx의 헤더 시그니처를 가진다.

 

그래서 image6.emf를 image6.docx로 확장자를 변경을 해보니

 

2013이라는 텍스트가 발견된다.

 

여기서 주어진 힌트를 다시 살펴보면, Extra_Field_Entry 라고 주어졌는데,

image6.emf (or image6.docx) 파일의 hex값을 확인해 보면

Extra Field에 값이 없는 것이 보인다.

 

docx 파일은 OOXML 파일이므로 OOXML Steganography 를 한 것으로 유추 가능하다.

ooXML Steganography v4 라는 툴을 이용해 image6.docx 파일을 추출하면

(설치 :  https://www.mediafire.com/file/m9hk90yv93lhfld/ooXML_Steganography_v4.zip/file)

 

image6.docx 파일 불러오기 > Set decryption key에 체크 표시 > Unhide data 버튼 클릭

 

stego_unpack ~~.txt 파일이 생성되고, flag가 발견된다.

 

---

[Flag]

c0d2gate~2o13!!F0r2nsic!!!!!

 

 

---

 

# reference

https://whitesnake1004.tistory.com/346https://velog.io/@hskang00/디지털-포렌식-30-CTF-D