MCSC 2019(Uni Level) Forensic a Write up

By: System Administrator On: Jul 18, 2019 CTF Write up 357

ပြီးခဲ့တဲ့ ၂၀၁၉ တက္ကသိုလ် အဆင့် MCSC2019 က မေးခွန်းလေးတွေ ရလို ့ဖြေကြည့်ထားတာလေး ပြန်ရေးပေးချင်လို ့ပါ။ ချဲ ့လင့်ဖိုင်ကို dropbox မှာတင်ထားပေးတယ်တယ်နော် ။

Challenge File

ပထမဆုံး zip ကို ဖြေလိုက်တဲ့အခါ  png file တခုကို တွေ ့ပါလိမ့်မယ်။ ဖွင့်ကြည့်တဲ့အခါ အောက်က ပုံပါအတိုင်း ဖွင့်လို ့မရဖြစ်နေပါလိမ့်မယ်။ 

[Image: ZRMeAdF.png]

ဒီတော့ ကျွန်တော်တို ့အနေနဲ ့File ဆိုတဲ့ Command နဲ ့File Type အမျိုးအစားကို စစ်ကြည့်ပါမယ်။ပြီးတော့ တခါထဲ strings command နဲ ့စစ်ကြည့်ပါမယ်။
အောက်က ပုံမှာကြည့်နိုင်ပါတယ်။

[Image: 5gmcN7q.png]

file မှာကျတော့ png extension ကြီး strings နဲ ့ကြည့်တဲ့အခါကျ  JFIF header file ကို တွေ့ရပါလိမ့်မယ်။ အားလုံးပဲ သိပြီးတဲ့အတိုင်း JFIF ဆိုတာ JPG JPEG တို ့ရဲ ့extension ပါ။ ဒါကြောင့်မို ့ကျွန်တော်တို ့.png ကို jpg ပြောင်းပြီး ဖွင့်ကြည့်တော့လဲ error တက်နေပါသေးတယ်။
ဒီတော့ ကျွန်တော်တို ့header file ကို hexeditor တခုခုနဲ ့ကြည့်ဖို ့ကြိုးစားရပါလိမ့်မယ်။ ကျွန်တော်က တော့ 010editor ကို သုံးပါတယ်။
header file တိုက်စစ်ကြည့်ဖို ့အတွက် ကျွန်တော်တို ့အနေနဲ ့JPG or JPEG image အမှန်တခုခုကို သုံးပြီးနှိင်းယှဉ်ကြည့်နိုင်ပါတယ်။

header file အမွန္ 

[Image: 1hLsch5.png]

challenge file ရဲ ့header 

[Image: qOzIbIL.png]

ဒီတခါမှာတော့ ကျွန်တော်တို ့header file တွေ မတူကွဲပြားချက်ကို ရှာတွေ ့သွားပြီ ထင်ပါတယ်။ ဒီတော့ ကျွန်တော်တို ့အနေနဲ ့Header file ပြောင်းြ့ပီး Save လိုက်ရုံပါပဲ extension ကတော့ .jpg နဲ ့ပေါ့ဗျာ။

ကဲဗျာ အခုဆို .jpg နဲ ့ဖွင့်လိုက်တဲ့ အခါ အောက်မှာ ပြတဲ့ အတိုင်း မြင်ရပါပြီ။

[Image: j1PuXXE.jpg]

ဒီပုံမှာတောင် တကယ်က Flag ကို တန်းပြီး ချက်ချင်းမမြင်နိုင်ပါဘူး ခဗျားတို ့အနေနဲ ့ပုံကို စေ့ စပ်သေချာစွာကြည့်ရပါလိမ့်မယ်။ 
ညာဘက်အောက်ထောင့်နားလေးကို ကြည့်လိုက်တဲ့အခါ ကျွန်တော်တို ့ခဗျားတို ့လိုချင်တဲ့ Flag လေးကို မြင်ရပါပြီ။

အားလုံးလည်းမြင်ရမယ်လို ့ထင်ပါတယ်။
ကျေးဇူးတင်ပါတယ်။