전체 글

[N0Named Forensic] [A] 길에서 주어온 만두

big.png 라는 이름으로 아래 사진이 주어진다. 파일명과 사진으로 봐서 사진에 숨겨진 또 다른 파일을 extract하면 small이 나올 듯 하다. HxD로 까보면 별 건 없고 가장 마지막에 "PASS:1234" 라는 문자열이 있다. png 스테가노그래피 복호화를 지원하는 OpenStego를 통해 extract 시도 똑같아 보이지만 아래는 extract해서 나온 파일이다. 이름은 medium.png 여기서 small.png를 얻기 위해 다른 방법을 쓸 것 같았지만 똑같은 방법으로 2번 반복하면 falg.txt가 나온다. 50점 문제가 더 재밌었다..

[N0Named Forensic] [A] 입사 테스트[1]

문제 파일 fore 1.zip 은 아무 힌트 없이 암호가 걸려있다. 그래서 이 문제처럼 암호화 비트를 없애보았다. SuNiNaTaS 28 (FORENSICS 200pt) down 버튼을 누르면 zip 파일이 다운되는데 아래 3개 파일이 들어있고 암호가 걸려있다. 일단 zip 파일 구조를 살펴보자. 다음은 So_Simple.zip 파일의 헥스 코드다. 일단 헤더 - 50 4B 03 04, 푸터 - 50 4B 0.. hec-ker.tistory.com game.exe와 flag.txt에만 암호가 걸려있으므로 0x504B0102 를 찾아 암호화 비트 1을 0으로 바꾸었다. 그러고 압축을 해제해봤더니 아래처럼 손상되었다고 뜬다. Winrar로 다시보니 CRC가 훼손되었다고 한다. 그래서 CRC 복구 툴을 쓸까 ..

[N0Named Forensic] [C] 누가 진짜일까?

주어진 zip 파일을 풀면 똑같이 생긴 2개의 파일이 나온다. 두 파일을 HxD 기능인 파일 비교를 통해 함 보면 각이 나온다. 'ND...' 로 시작하기 때문에 두 파일의 다른 바이트가 플래그일 것이다. 예상대로 다른 바이트를 따로 모으면 플래그가 나온다!

[N0Named Forensic] [C] 조별과제_배드엔딩

ㅎㅎ.. 오 되게 신박하다 마지막 슬라이드에 뭔가 숨겨져 있는 것 같다. 대충 PPT를 ZIP으로 만들고 압축 풀고 나면 그 파일에 플래그가 있다는 뜻.. ppt > media 폴더에 이상한게 있네

[N0Named Forensic] [A] 회사 찾기

주어진 zip 파일은 에러가 뜨면서 압축이 안풀린다. 음..다시보니 PK가 아니라 PP다.. PK로 바꿨더니 잘 풀린다. 압축 풀고 나온 파일이 FINDAJOB.txt 파일이다... 엄청나다;; 불순물들이 많아서 중괄호랑 대문자만 나오도록 했다!

[N0Named Forensic] RE: xeh_desrev

이번에도 열리지 않는 png 파일이 주어진다. HxD로 까보면.. 바이트 단위로 뒤집혔다. 파이썬의 [::-1]을 써서 뒤집어보자. f1=open('manduu23.png','rb') manduu23 = f1.read() rev_manduu23 = manduu23[::-1] f2=open('rev_manduu23.png','wb') f2.write(rev_manduu23) f2.close() 문제 이름을 맛깔나게 지으신다..

[N0Named Forensic] magicIMAGE

당장 열 수 없는 png 파일이 하나 주어진다. HxD로 까보면 시그니처가 이상하다. 보이기로는 똑같이 '....'으로 보이지만, PNG 파일의 헤더 시그니처는 '89 50 4E 47 0D 0A 1A 0A'다. 헤더 시그니처 8 바이트 자리 중 뒤 4자리를 정정한다. 플래그가 보인당

[ctf-d Disk] 서울에 위치한 X 에너지 기업이…

주어진 파일을 analyzeMFT 툴을 이용해 정돈된 형태로 출력했다. 내보낸 엑셀 파일에서 'exe'를 찾으려고 했다. '악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적'이라고 언급했기 때문에 일단 exe 실행 파일 중 수상한 것이 있을 수도 있다는 생각 때문이었다. 검색 결과 setup.exe, WinHex.exe, upgrader.exe 그리고 r32.exe를 찾을 수 있었다. 그 중 r32.exe가 누가봐도 수상해보인다. 문제 지문에서 흔적을 지우려고 시도했다는 정보를 주었기 때문에 휴지통에 위치하며 프로그램명이 익숙지 않은 r32!가 범인이다. r32.exe에 관한 정보만 따로 뽑아 메모장에 복붙한 것이다. 여기서 생성 시간을 찾을 수 있다. 2012-02-22 17:39:18..

[ctf-d Network] DefCoN#21 #3

Conversation 창에서 다음과 같은 패킷을 찾을 수 있다. 라는 문자열이 포함된 것을 보니, 동영상 파일을 카빙하는 것이 중요할 것 같다. 일단 140 KB 통신 패킷을 Raw로 선택해 다른 이름으로 저장하였다. MP4 파일의 헤더 시그니처는 '00 00 00 18 66 74 79 70'이다. 또 검색이 쉽게 잘됐다. 이전은 싹 다 지우고 파일명 뒤에 MP4를 붙이면 아래와 같은 동영상이 나온다. "YOU HAVE DIED OF DYSENTERY"

[ctf-d Network] DefCoN#21 #2

Betty와 Gregory가 만나기로 한 도시를 찾는 문제다. 문제 패킷을 Network Miner에 넣어보자. 이 곳에서 총 3개의 메시지를 확인할 수 있다. (1) 만나기로 한 수요일에 Betty가 노쇼했나 보다. 그리고 친구 없이 단 둘이서만 만나자고 하며 '그 곳'에 대한 비밀번호를 보낸다. - PW: S3cr3tVV34p0n - Betty's mail: betty_swindoll@aol.com - Greg's mail: d34thm3rch4nt@aol.com (2) 별 내용없다. 그냥 Greg도 가겠다고 한다. (3) 마지막 메시지를 푸는 것이 문제의 해답이 될 것이다. 'PRIVMSG'라는 명령어와 파라미터로 보아 [PRIVMSG D34thM3rch4nt
DCC SEND r3nd3zv0us ..

[ctf-d Network] 조용할수록 더 귀를...

주어진 문제 파일은 gzip. 압축을 풀면 PrivateChannel.pcap.pcapng라는 독특한 확장자를 가진 와샥 캡처 파일이 나온다. 처음 파일을 열면, 흰색 컬러링 패킷이 특징적으로 많이 보인다. 컬러링 룰을 보면, 이더넷을 통해 브로드캐스팅 된 패킷이 흰색임을 알 수 있다. 일단 Conversations > TCP 패킷을 보니 CDAISIWillWin 이라는 문자열이 들어있었다. 당연히 훼이크! 이거 말고는 별다른게 없어서 tshark로 넘어갔다. 맨 먼저 의심스러워 보이는 흰색 패킷.. 진짜 뭐가 없다 개속았다. 그 다음으로는 ICMP 패킷이 많았다. 재밌는게 unreachable이 몇개 있고 id 존재하는게 5개 있고 나머지는 다 id == 0이었다. 처음엔 저 id값을 조합하나 했지만 ..

DFC 2019 IR200 - 악성 파일 찾기

이 포스팅은 DFC 2019 IR200 - Block Autorun 문제 파일에서의 악성 파일을 추측한 것입니다. 1. NisSrv.exe - 경로 이상 (1) 내 PC에서의 NisSrv.exe 경로: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.3-0 (2) 문제파일에서의 NisSrv.exe 경로: %ProgramFiles\Windows Defender\NisSrv.exe 2. durlek.bat - 로그온 스크립트 파일 로그온 스크립트 파일: 사용자가 계정 로그온 시 자동으로 실행되는 스크립트 내 PC의 해당 경로에는 다음과 같이 프로그램 데이터에 관한 정보나 db 파일만 존재한다. PC방 같은 곳에서는 로그온 스크립트를 쓸 수 있지만,..