[Dreamhack] FFFFAAAATTT

https://dreamhack.io/wargame/challenges/303

FFFFAAAATTT

포렌식 1단계

---

 

디스크 이미지 파일 하나가 주어진다.

 

FTK Imager나 HxD에 넣으면 이렇게 Fix the Disk!!!라는 문자열만 나온다.

쭉 내리면 FF FF FF로 채워져있고... 이렇게 망가진 디스크 이미지 파일을 고쳐야 하는 문제인듯

문제 이름으로 봐서는 FAT 디스크 이미지인 듯 하다.

 

 

아래로 조금 내리면 그래도 부팅에 필요한 정보들이 있는 것 같다.

문제는 부트 레코드 부분이 이상한 문자열로 채워져있어서 디스크 이미지로 인식을 못하는 것 같음.

 

 

위 디스크 이미지는 FAT32구조로, FAT32 구조를 좀 더 자세히 뜯어보면 위와 같다.

• BR(VBR, reserved 영역)
• FAT 1
• FAT 2
• DATA

FAT32는 위와 같은 구조로 되어있는데 그 중에서 디스크가 부팅되기 위해서는 BR 영역이 정해진 구조대로 존재해야 한다. BR 영역이 망가지면 디스크가 부팅되지 못한다. (보통 망가져도 뒷부분에 백업본이 존재해서 그 부분을 잘라붙여 복구한다고 했는데 위에서 찾은 게 그 부분인가봄)

 

 

FAT32의 BR(VBR, Reserved Area) 부분을 더 자세히 뜯어보면 위와 같다.

• 1번째 섹터(0섹터)에 부트레코드 저장
• 2번째 섹터(1섹터)에 FSInfo 구조체 저장
• 3번째 섹터(2섹터)에 Boot strap 저장
• 7번째 섹터(6섹터)에 부트레코드 사본 저장
• 8번째 섹터(7섹터)에 FSInfo 구조체 사본 저장
• 9번째 섹터(8섹터)에 Boot strap 추가영역
• 나머지 섹터는 사용되지 않으며 0으로 초기화

 

BR 섹터를 전부 복사해놓고 맨 앞부분에 붙여넣기 한다.

 

 

디스크 이미지가 복구되어 이제 잘 열린다.

처음에 FTK Imager에서 Dreamhack 폴더를 살펴보면서 _noway!.zip에 flag.txt가 있는 걸 확인했는데 이상한 문자열로 채워져있었다. 그게 압축&비밀번호 설정된 상태라서 제대로 보이지 않는 거였음. Dreamhack 폴더를 통째로 export해서 살펴본다.

 

noway!.zip을 열기 위해서는 암호가 필요한데, 이걸 Hex를 뜯어고치거나 해제 툴을 사용할 수도 있겠지만 그 전에 수상해보이는 파일이 있어서 그쪽을 봤다. Dreamhack 폴더에는 사진이 여러 개 있는데 그 중에서 GG.png만 손상된 상태였다. 이게 시그니처가 손상되어서 원래 파일이 잘 보이지 않아서 이미지를 복구하면 키가 나올지도 모르겠다는 생각을 했다.

 

그런데 이미지를 헥스로 보니까 그냥 암호가 나왔다...

DHDHFIX

 

 

FINISH_FIX.txt에 플래그가 존재한다.

flag : DH{3a5y_FAT32_r3bui1d}