[Project SEKAI CTF 2022] Forensics - Broken Converter
Forensics - Broken Converter
문제를 다운받고 보니 확장자가 '.xps'였다. xps가 무엇인지 처음보았기 때문에 검색을 했다.
XPS 파일은 EMF 형식을 대신하여 처음 구현되었으며 Microsoft의 PDF 버전과 비슷하짐나 XML 형식을 기반으로 한다.
문제를 'HxD' 프로그램으로 헥사값을 확인했더니 헤더 시그처가 '50 4B 03 04'로 해당 파일이 zip 파일 인 것을 확인했다.
zip 파일의 푸터 시그니처는 '50 4B 05 06' 뒤로 값이 조금 추가되어있는 것 같아 zip 파일 푸터 시그니처 뒤에 있는 값들을 모두 삭제해주었다. ㄱ,
확장자를 xps->zip으로 바꾸어보았다.
아래와 같은 코드와 JPEG 한 장을 발견했다. 그렇지만 별다른 것이 나오지는 않았다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<cp:coreProperties xmlns:cp="http://schemas.openxmlformats.org/package/2006/metadata/core-properties" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:dcterms="http://purl.org/dc/terms/" xmlns:dcmitype="http://purl.org/dc/dcmitype/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><dcterms:created xsi:type="dcterms:W3CDTF">2022-02-13T11:31:39Z</dcterms:created><dcterms:modified xsi:type="dcterms:W3CDTF">2022-02-13T11:31:39Z</dcterms:modified></cp:coreProperties>
xps 파일은 크롬을 이용해서 간단하게 pdf로 변환시킬 수 있다.
확인해보니 zip파일 확장자로 변환해서 확인했던 이미지는 아래의 이미지가 깨져나와서 저렇게 보였던 것 같다.
https://stegonline.georgeom.net/image
StegOnline
stegonline.georgeom.net
위 사이트에서 이미지의 RGB값을 조정해보았지만 변화가 없었다..
확장자를 zip으로 변경한 후 아래 파일을 찾아준다. (02F30FAD-6532-20AE-4344-5621D614A033.odttf)
ODTTF파일은 .odttfGUID(또는 파일 이름)를 키로 사용하여 글꼴 파일의 처음 32바이트에서 XOR 작업을 수행하여 파일이 난독화된다고 한다.
https://somanchiu.github.io/odttf2ttf/js/demo
odttf2ttf
somanchiu.github.io
해당 사이트에서 ODTTF 파일을 읽을 수 있게 변환했다.
이제 난독화 처리되었으므로 Windows 글꼴 뷰어에서 파일을 열 수 있다. 문구 KfTA { CI40은 맨 위에 표시되지만 플래그의 나머지 부분은 제대로 정렬되지 않습니다
https://fontdrop.info/#/?darkmode=true 이 사이트를 이용해서 난독화 된 것을 풀어냈다.
ttf 파일을 아래 사이트에 파일을 업로드 해준다.
f\@g:SEKAI{sCR4MBLeD_a5ci1-FONT+GlYPHZ,W3|!.d0n&}"#$%'()*/26789;<=>?JQUVX[]^`bhjkmopqrtuvwxyz~
