SPACE WAR - Earth Write UP 및 후기

Hspace에서 개최한 CTF중 디지털 포렌식을 테마로 한 Earth부문에 참여했다.

해킹인생 첫 수상으로 6문제중 총 3문제를 풀어 3등을 했다. 가장 쉬운문제에 플래그 제출 오류가있었다는게 나중에 공지되어 1등을 뻇긴게 아쉽긴하지만 아쉬운건 뒤로하고 풀은 문제에 대한 write up을 작성한다.

 

Insider's Shadow  

회사 내부 네트워크를 통하지않은 비정상적인 네트워크 기록을 찾으라는 문제였다.

레지스트리 파일이 제공되어 레지스트리 익스플로어로 열어본뒤 비정상적인 네트워크 기록이라 하여 네트워크와 관련된 데이터들을 뒤지던중 SOFTWARE\Microsoft\Windows NT\Current Version\Network list에서 개인 폰으로 전달되는 네트워크를 확인할 수있었다

플래그 형식은 hspace{네트워크이름_첫연결yyyy-mm-dd_HH:MM:SS} 이므로

답은 hspace{Eden_iPhone_2025-09-23_22:35:04}

 

Pick Me !

처음 풀어보는 드론 포렌식문제였다. 사실 카테고리에서 드론이 나온다는걸 사전에 본 뒤 논문도읽고 대비를 조금 하고왔는데 생각보다 쉽게나와서 빠르게 풀수있어 좋았다.

처음에 문제를 다운로드할 때 SRT라고 써있었는데 실제로는 확장자가 안붙어있어 SRT확장자로 바꿔준 뒤 메모장으로 열으니 비행 로그들이 텍스트로 나왔다. 가장마지막 착륙지점을 찾는 문제였기에 마지막 로그 인

 

5261

00:02:55,508 --> 00:02:55,541

<font size="28">FrameCnt: 5261, DiffTime: 33ms

2025-08-05 13:47:21.183

[iso: 160] [shutter: 1/1000.0] [fnum: 1.7] [ev: 0.7] [color_md: default] [focal_len: 24.00] [latitude: 46.799564] [longitude: -122.276379] [rel_alt: 4.000 abs_alt: 333.605] [ct: 5326] </font>

 

여기서 위도와 경도를 파악하고 구글지도에 입력해주니

워싱턴인 것을 알수있었다

플래그 형식은 위도_경도_지역이라 hspace{46.799564_-122.276379_Washington}

 

Flag 대신 Flax?

키워드에 ZFS가 있어 잠깐 설명하자면

ZFS란 스토리지 풀 개념을 도입해 여러 디스크를 하나의 논리적 풀로 묶고, 그 위에 파일 시스템을 생성하는 구조라고한다

ZFS 환경에서 디지털 포렌식을 수행할 때는 다른 파일시스템과 달리 스토리지 풀을 분석한 뒤 스냅샷을 분석하여 과거 데이터를 복구한다.

 

먼저 칼리 리눅스를 키고 ZFS모듈을 설치하였다

다음으로 다운 받은 디스크 이미지를 sudo losetup -r –fP —show prob.img를 통해 매핑하여 /dev/loop0를 생성하고

레이블을 확인한다

 

name이 ctf라는 것을 확인했으니 풀 이름을 사용하여 읽기전용으로 import한다

 

이제 데이터셋 마운트로 파일을 복구한다

 

마운트포인트가 /ctf로 되어있어 루트 데이터셋을 마운트한다

 

이제 스냅샷에 접근해보면

hspace폴더가 하나 나온다 여기있는 파일을 보면

flag 파일을 확인할 수있다.

이 파일을 Downloads폴더로 복사한다.

sudo cp –a "/ctf/.zfs/snapshot/hspace/flag" ~/Downloads

패딩을 제외하고 플래그 형식대로 입력해주었다.

ZFS라는 개념을 이 문제를 풀면서 처음 알게 됐는데 새로운 개념을 공부하는 느낌으로 풀었다. 다음에 다른 곳에서 비슷한 문제가 나오면 도움이 될 것 같은 문제였다.