にゃーんとか言ったことなし

コンテンツは特にないです。

ksnctf #18 Use flash drive

ksnctf

問題

https://ksnctf.sweetduet.info/problem/18

 

考えたこと

まず、USBうんぬんというタイトルから、フォレンジック問題だろうという予想をする。フォレンジック問題なので、まあAutopsyか、The Sleuth Kitあたりでごちゃごちゃやればいいかなと思った。まずはzipファイルがあるので、それをダウンロードして展開する。それを解凍すると、drive.imgとかいうファイルが出てくる。imgだからまあ画像ファイルだろうなと思いながらfileコマンドで確認すると、

x86 boot sector, code offset 0x52, OEM-ID "NTFS    ", sectors/cluster 8, reserved sectors 0, Media descriptor 0xf8, heads 8, hidden sectors 1, dos < 4.0 BootSector (0x80)

と返ってきた。x86 boot sectorというところから、これがタイトルのUSBの意味かと理解する。ブートセクターは簡単に言うと、HDDやフロッピーなどの補助記憶装置のセクターの一種である。とりあえず中身をみようと思ってflsコマンドを実行する。flsコマンドとは、ディスクイメージの中にあるファイルとかの一覧を出してくれるコマンドである。すると、Liberty Leading the People.jpg といった名前のファイルが7種類あることが見つかる。そこでicatコマンドで中身をみると、

icat drive.img 36-128-4

とやったところで、FLA という文字が出てきたので、これかと思って残りも全てicatして出てきた文字列をつなぎ合わせるとフラグが通った。

 

おまけというかついで

ksnctfのフォレンジック問題はこれぐらいしかないきがする。FTK Imagerとか使っても解けそう?