Create a gist now

Instantly share code, notes, and snippets.

What would you like to do?
SECCON 2014 オンライン予選 フォレンジック300 WriteUp

捏造された契約書を暴け (フォレンジック 300)

渡されたファイルを解凍すると、Timestamp.ddが出てくる。

AccessData FTK Imager Liteで開いてみると、
Timestamp.dd\Partition 1\CTF\[root]に削除済みデータとして
機密保持契約書.docxが見えるのでExportする。

docxファイルを解凍する。(破損しているがzip形式として解凍できる。Beginnerの方でも触れられていたらしい?)

\word\mediaに判子の画像である image2.jpegがあるので、 Exif情報を見ればFlagが手に入る。

2012/05/23 13:29:00 を入力して終わり。

追記

同じ方法を別の方が解説していらしたので、そちらの方が分かりやすいかと思います。 http://sakenokirimi.hateblo.jp/entry/2014/07/21/195752

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment