Disk, disk, sleuth! II の Writeup
問題に記載のディスクイメージのdown-at-the-bottom.txtというファイルにフラグがあるらしいのでイメージを分析する
問題の「sleuth」とは「探偵」という意味らしい。
同名のフォレンジックツール「Sleuth kit」を使ってディスクイメージを分析していく
まずmmlsコマンドでディスクイメージのパーティションテーブルをダンプする
mmls dds2-alpine.flag.img
実行結果
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
000: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
001: ------- 0000000000 0000002047 0000002048 Unallocated
002: 000:000 0000002048 0000262143 0000260096 Linux (0x83)
Linuxと説明のある2つめのパーティションがメインのパーティションのようなのでここを掘っていく
flsコマンドで2つ目のパーティションのStart値をoffsetに指定してパーティションの中身をみてみる
fls -o 2048 dds2-alpine.flag.img
実行結果(d/dはディレクトリ、r/rはファイルを示している)
d/d 26417: home
d/d 11: lost+found
r/r 12: .dockerenv
d/d 20321: bin
d/d 4065: boot
d/d 6097: dev
d/d 2033: etc
d/d 8129: lib
d/d 14225: media
d/d 16257: mnt
d/d 18289: opt
d/d 16258: proc
d/d 18290: root
d/d 16259: run
d/d 18292: sbin
d/d 12222: srv
d/d 16260: sys
d/d 18369: tmp
d/d 12223: usr
d/d 14229: var
V/V 32513: $OrphanFiles
順番にflsで見ていくと、tmpフォルダ内にdown-at-the-bottom.txtがあることが分かる
fls -o 2048 dds2-alpine.flag.img 18290
実行結果
r/r 18291: down-at-the-bottom.txt
icatコマンドでファイルの中身を見てみる
icat -o 2048 dds2-alpine.flag.img 18291
フラグ文字列が表示される