Save 37% off PRO during our Black Friday Sale! »

SUNCTF2020 Big brother's mischief WriteUp

SUNCTF2020 Big brother's mischief WriteUp

3295c9d02ce3afee0e7fbda367262c2e?s=128

camera510PC7

March 07, 2020
Tweet

Transcript

  1. ©2020 Cyber研究会 フォレンジック解説 問題名 Big brother's mischief

  2. ©2020 Cyber研究会 問題文 さっき少し目を離した隙にお兄ちゃんにわた しのPC勝手に使われちゃった。ブラウザの 閲覧履歴も消されてるし、もしかしてネット で変な画像とか検索してないよね? 添付ファイル evidence.zip

  3. ©2020 Cyber研究会 1. evidence.zipを展開するとfirefoxというフォルダ が出てくる。 2. /firefox/cacheの中には拡張子のわからない ファイルがたくさん入ってる。

  4. ©2020 Cyber研究会 3. ファイルの種類を調べるためにfileコマンドを使 う。ただし今回の場合、ディレクトリにあるすべ てのファイルの種類が知りたいため、バックク オートでlsを挿入する $ file `ls`

  5. ©2020 Cyber研究会 4. 問題文から画像が答えに関係あることが分かるの で、grepを使って画像だけに絞り込む $file `ls` | grep image

  6. ©2020 Cyber研究会 5. Exifデータがある画像とない画像があることが 分かる。Exifデータのある画像だけにgrepで絞 り込む。(わかりやすくするためにcat –nで番号 を付けた) $file `ls`

    | grep image | grep Exif | cat -n
  7. ©2020 Cyber研究会 6. 3番目の画像ファイルのExifを見ると、modelの ところに怪しい文字列がある。 model=U1VOQ1RGe1NvcnJ5Ll9CdXR feW91X25lZWRfdG9fbG9ja195b3VyX 1BDfQ==

  8. ©2020 Cyber研究会 U1VOQ1RGe1NvcnJ5Ll9CdXRfeW91X25lZW RfdG9fbG9ja195b3VyX1BDfQ== 7. 文字列の並びや最後にイコールがあることから Base64であることが分かるのでCyberChefで デコードする

  9. ©2020 Cyber研究会 SUNCTF{Sorry._But_you_need_ to_lock_your_PC}

  10. ©2020 Cyber研究会 余談... ↑昨年12月に起こった事件

  11. ©2020 Cyber研究会 余談... ↑昨年12月に起こった事件 電子機器のロックは必ずかけましょう!!