문제 파일 : Hello_SuNiNaTaS.pdf
사용한 Tool : PdfStreamDumper.exe
문제 : "PDF Analysis"
<Hello_SuNiNaTaS.pdf>
이 PDF를 분석하기 위해서 PDFStreamDumper 툴을 사용했다. Object 20에 보게되면 JAVA Script가 있는걸 확인할수 있다.
< PDFStreamDumper>
이 object를 Javascript_UI로 보게되면 이렇게 나오는데 바로 실행은 안되고,
Base64 decode부분만 따로 빼서 decoding을 하면 뭔가나온다.
< PDFStreamDumper-Javascript_UI>
Base64로 11번 decoding을 실행하면 "I am sorry, This is not key~!!"라는 문자가 나온다.
키가아닌걸 확인 하고 다른 object를 본다.
<https://gchq.github.io/CyberChef/cyberchef.htm>
Object 39에 보게되면 PDF가 하나더 숨겨져있는게 보이는데, 이것을 Decompressed Stream으로 파일을 뺀다.
물론 확장자명은 PDF로 설정한다.
<PDFStreamDumper-Save Decompressed Stream>
그리고 나서 PDF파일을 열면 아무것도 안보이는데 보호됐다고 나오니 온라인 PDF잠금해제 사이트에 들어가서 PDF잠금해제를 한다.
<https://smallpdf.com/kr/unlock-pdf>
<https://smallpdf.com/kr/unlock-pdf>
그리고 보호해제된 PDF를 그냥 열면 아무것도 안보이는데, PDFStreamDumper로 열어서 Object 7에 보면 flag 값이 보인다.
Answer : SunINatAsGOodWeLL!@#$
MD5(SunINatAsGOodWeLL!@#$)
↓
Answer : 13d45a1e25471e72d2acc46f8ec46e95
'WarGame > Forensic' 카테고리의 다른 글
| [SuNiNaTaS] Forensic 32 (0) | 2018.02.07 |
|---|---|
| [SuNiNaTaS] Forensic 30 (0) | 2018.02.06 |
| [SuNiNaTaS] Forensic 29 (0) | 2018.01.31 |
| [SuNiNaTaS] Forensic 26 (0) | 2018.01.22 |
| [SuNiNaTaS] Forensic 21 (0) | 2018.01.22 |
