![[SuNiNaTaS] Game 31 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FoSINP%2FbtqDIREUDiw%2FkKs3q1ZP3cVvO6v3rxqlm0%2Fimg.png)
문제 종류 - Forensic
사용한 툴 - PDFStreamDumper, HxD
Flag, Hint, 정답 형식
flag: ?
hint: X
정답 형식: flag: lowercase(md5(flag))
풀이
문제를 누르면 PDF 파일이 나타난다.
이 PDF를 다운받아서 HxD로 열어보자.
내리다보니까 Javascript가 보인다. var Base64 ~ 부터 Base64.decode 부분까지 복사해서 메모장에 붙여보자.
그리고 Ctrl+H 기능을 이용해 0x00와 space 부분을 없애주고 Hex to Ascii를 이용해보자.
해당 Javascript를 복사해 구문을 실행시켜봤다.
여기서 eval(rlLwarzv) 부분은 document.write(rlLwarzv)로 대체했다.
실행하면 다음과 같은 문자열이 출력된다.
이 문자열을 base64에 계속 돌려봤다.
ㅡㅡ 키가 아니란다..
찾아보니 PDF analyze tool 중에 PDFStreamDumper 라는 사기적인 tool을 발견했다.
이 tool을 이용해 분석해봤다.
Javascript 부분도 보이네 :P
계속 찾던 중 PDF header가 보이는 부분을 찾아냈다.
PDFStreamDumper 기능을 이용해 이 부분을 추출 해보겠다.
pdf로 저장한 파일을 열어보겠다.
??? PDF안에 내용이 없다. 다시 PDFStreamDumper 으로 이 PDF를 분석해봤다.
PDF에 Encryption이 걸려있다.
예를 눌러보자.
누르고나서 봐도 Encryption이 걸려있다.
이 방법은 아닌듯하니 PDF Decrypt 사이트를 이용해 Decrypt 해봤다.
Site: https://smallpdf.com/kr/unlock-pdf
PDF 잠금 해제 - 무료 온라인 PDF 암호 제거 툴
파일 크기 제한 및 광고 워터마크 없음 - PDF에 설정된 불필요한 비밀번호를 제거할 수 있는 무료 온라인 비밀번호 제거 툴로, 사용법도 간단합니다.
smallpdf.com
Decrypt된 PDF를 다시 PDFStreamDumper 으로 열어보자.
flag: lowercase(md5(flag))
'Wargame > SuNiNaTaS' 카테고리의 다른 글
| [SuNiNaTaS] Game 32 풀이 (0) | 2020.04.27 |
|---|---|
| [SuNiNaTaS] Game 29 풀이 (0) | 2020.04.27 |
| [SuNiNaTaS] Game 28 풀이 (0) | 2020.04.26 |
| [SuNiNaTaS] Game 26 풀이 (0) | 2020.04.26 |
| [SuNiNaTaS] Game 21 풀이 (0) | 2020.04.26 |