79 words
1 minute
TCTT25 Forensics: Hidden Partition
2025-12-13
Thailand-Cyber-Top-Talent-2025
CTF
/
Forensics
/
Disk
/
Autopsy
/
ROT13

Hidden Partition [100 pts] - Digital Forensics Write-up#

โจทย์#

หมายเหตุ รูปแบบของ Flag ที่เป็นคำตอบของข้อนี้คือ flag{message}

ไฟล์ที่ได้รับ:

hidden_partition.img (200MB)

ดาวน์โหลดไฟล์#

ไฟล์ดาวน์โหลด
hidden_partition.img📥 Download from GitHub

ข้อสังเกต#

  • ไฟล์ที่ได้รับเป็นไฟล์ .img ต้องทำ Image Forensics (ใช้ Autopsy)
  • มี Disk Partition อยู่ 4 Volume คือ
    • vol1 (Unallocated: 0-2047)
    • vol2 (Win95 FAT32 (0x0c): 2048-204799)
    • vol3 (Linux (0x83): 204800-407551)
    • vol4 (Unallocated: 407552-409599)

แนวคิดการแก้โจทย์#

1. ใช้ Autopsy สำรวจ Partition ทั้งหมด#

หาร่องรอย/ไฟล์ที่ซ่อนอยู่

2. พบไฟล์ secret.txt#

จากการสำรวจ พบไฟล์ secret.txt อยู่ใน vol3 (Linux (0x83): 204800-407551)

Found secret.txt

3. อ่านเนื้อหาในไฟล์ secret.txt#

เมื่อดูเนื้อหาในไฟล์ secret.txt พบข้อความ:

synt{lbh_sbhaq_uvqqra_cnegvgvba}

secret.txt content

4. วิเคราะห์การเข้ารหัส#

จากข้อความที่พบ มีความเป็นไปได้ว่าจะเข้ารหัสด้วย Caesar Cipher เนื่องจากในส่วนของข้อความถูกเข้ารหัสไว้ แต่อักขระพิเศษไม่ถูกรหัสเข้าด้วย

ผลลัพธ์#

เมื่อนำไป Brute Force ด้วย Caesar Cipher (dcode.fr) พบข้อความที่อ่านได้ คือ

Caesar Decode

flag{you_found_hidden_partition}

Credits#

Writeup by netw0rk7 | Original Repo

TCTT25 Forensics: Hidden Partition
https://blog.lukkid.dev/posts/tctt25-forensics-hidden-partition/
Author
LUKKID
Published at
2025-12-13
License
CC BY-NC-SA 4.0
TCTT25 Crypto: NewBase64
TCTT25 Forensics: Hidden Payload
© 2025 LUKKID. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari