회사 내부직원이 인터넷을 통해 내부문서를 외부로 업로드 했다고 한다. 이 파일은 직원의 스마트폰인 것 같다.
우선 파일이 .001 확장자여서 FTK에 넣어보았다.
파일이 엄청 많았는데, apple이 보이는 걸로 봐서 아이폰인 것 같고, 핸드폰 안에 있는 어플리케이션들의 데이터라 양이 많은 것 같다. 그 중 눈에 띄는 건 Dropbox였다. Dropbox에 내부문서를 업로드 하지 않았을까 싶어 더 찾아보았다.
Dropbox.app 폴더를 뒤지다가 뭐가 없어서 Library를 뒤져보니 안에 또 Dropbox 폴더가 있었다.
하지만 그 안에는 의미없는 사진들만 있었다.
근데 밑에서 확장자가 Dropbox인 파일을 발견했다.
열어보니
이런 png 파일이 있었다.
아마 빼돌린 내부문서 이름이 S-Companysecurity.pdf인 것 같다. 그리고 파일의 크기와 날짜, 시간을 알 수 있다.
이외에는 더 이상 얻을 수 있는 단서가 없었다...
그래서 Library 폴더에 있던 cache.db를 추출했다. 그리고 DB Brower for SQLite를 사용해서 db 파일을 열어보았다.
업로드 했던 파일명이 tim_folder이라는 것을 아까 png 파일에서 보았으므로 이 파일에 대한 데이터를 살펴보았다.
근데 알 수 없는 형식으로 되어있어 볼 수가 없었다.
plist가 눈에 띄고, 아까 ftk에서도 보았던 것 같아서 구글링 해보니까 apple에서 개발한 보통 사용자의 설정을 저장하지만 번들과 애플리케이션 소프트웨어 정보를 저장하기 위해서도 사용되는 파일인 것 같다. 이 파일을 읽으려면 따로 에디터가 필요해서 다운받아주었다.
에디터를 사용해 추출한 파일을 보니, 이렇게 변환이 되었다
이제 여기서 어떤 정보들을 찾아야 할까 ,, 쭉쭉 내려보았다,
근데 데이터가 너무 길어서,, 아까 봤던 내부문서 명을 한번 검색해보기로 했다.
그랬더니
이렇게 나왔고 위에 NS time이라고 시간 정보도 같이 뜬 걸 확인할 수 있다.
NS time이 뭔지 궁금해서 찾아보니까, 캐나다의 시간대라고 한다.
암튼 이 시간정보를 Dcode에 넣어주니 , 잘 변환되었다.
flag 형식에 맞춰서 확인하면
성공 !
=================================================================
<제작방법 추측>
apple 스마트폰에서 dropbox에 flag 추측할 수 있는 파일 넣고, 관련 이미지 캡쳐한 뒤 저장
apple 스마트폰 데이터 추출해서 문제 파일로 사용
'Forensics > Wargame' 카테고리의 다른 글
[HackCTF] Secret Document (0) | 2021.04.28 |
---|---|
[HackCTF] Magic PNG (0) | 2021.04.28 |
[HackCTF] So easy? (0) | 2021.04.01 |
[suninatas] Forensic 30 (0) | 2020.12.01 |
one_data_one_zip (0) | 2020.11.24 |
댓글