picoCTF 2021 Disk, disk, sleuth! II writeup

인터넷에서 방법을 찾으면 쉽게 할 수 있는 문제이지만, 자신으로서는, Linux의 삭제 파일의 복원을 EnCase등에 의지하지 않고, 처음으로 무료 툴로 했기 때문에 기록을 남겨 둔다.


down-at-the-bottom.txt를 찾아라.

탑재하여 파일 찾기

＄ file dds2-alpine.flag.img 
dds2-alpine.flag.img: DOS/MBR boot sector; partition 1 : ID=0x83, active, start-CHS (0x0,32,33), end-CHS (0x10,81,1), startsector 2048, 260096 sectors

＄ fdisk -l -u dds2-alpine.flag.img
ディスク dds2-alpine.flag.img: 128 MiB, 134217728 バイト, 262144 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: dos
ディスク識別子: 0x5d8b75fc

デバイス              起動 開始位置 最後から セクタ サイズ Id タイプ
dds2-alpine.flag.img1 *        2048   262143 260096   127M 83 Linux

$ sudo mount -o loop,offset=$((2048*512)) dds2-alpine.flag.img /mnt/test

$ grep -r "down-at-the-bottom.txt" *

역시 안돼.

팁 보기

참고로 한 사이트

fls 참고로 한 사이트

$ fls -r -b 512 -o 2048 dds2-alpine.flag.img | grep "down-at-the-bottom.txt"

 r/r 18291: down-at-the-bottom.txt

inode 번호를 알았다.

icat 참고로 한 사이트

$ icat -b 512 -o 2048 dds2-alpine.flag.img 18291

   _     _     _     _     _     _     _     _     _     _     _     _     _  
  / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \ 
 ( p ) ( i ) ( c ) ( o ) ( C ) ( T ) ( F ) ( { ) ( f ) ( 0 ) ( r ) ( 3 ) ( n )
  \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/ 
   _     _     _     _     _     _     _     _     _     _     _     _     _  
  / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \ 
 ( s ) ( 1 ) ( c ) ( 4 ) ( t ) ( 0 ) ( r ) ( _ ) ( n ) ( 0 ) ( v ) ( 1 ) ( c )
  \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/ 
   _     _     _     _     _     _     _     _     _     _     _  
  / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \ 
 ( 3 ) ( _ ) ( 0 ) ( b ) ( a ) ( 8 ) ( d ) ( 0 ) ( 2 ) ( d ) ( } )
  \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/