今回の記事は3/4に終了したTAMUctf2019のMiscのI heard you like files.のwriteupです。

TAMUctf2019 [Misc] I heard you like files.

最終的に解いたチームは524チーム

ポイントは　306pt

まず、art.pngをダウンロード。

問題文にはファイルに含まれるPDFを調べろと書いてある。とりあえずart.pngをbinwalkに通してみる。

他にも色々沢山あるのが気になるが、pdfを見てみる。pdfとして認識させるために先頭を3408641bytes切り取る。

このpdfを見てみるとLorem ipsumから始まる文章が書いてある。

そして最後の段落の下に

Wait...is this a pdf?
I guess if it looks like a duck, and quacks like a duck, it could still be a pigeon.

 とある。つまりこのファイルはまだ変化するということを言いたい？

そういえば沢山のzipファイルが含まれたので、今度はoutput.pdfにstringsを使ってみる。

他にもpngファイルがあった。ということはこちらにもpdfが含まれている？

とりあえず、output.pdfからzipファイルを抽出。

ここではbinwalk -e [ファイル] を使用したので、ディレクトリ_output.pdf.extractedに入ると

一つ前の画像からword/mediaというディレクトリに入っているようだ。

そのpngを見てみると、

やはりpdfファイルが含まれている。

先ほどと同じように、今度は先頭から5253bytes切り取る。

このpdfを見てみると、フリーの壁紙画像があり、最後に

 Woah...polyception!

 とある。調べても意味がよく分からない。とりあえずstringsでこのpdfを見てみる。

ファイルの終わりであるはずのEOFの外に奇妙な文字列が、、、、

先ほどはzipファイルが含まれていたが、今回は、

zlibで終わりなので気になる。

EOFの外にあったものをとりあえずbase64でデコードすると、