Wargame/CTF
FwordCTF 2020 - Memory (Forensics)
We have to find the three below. 1) computername 2) user 3) password To obtain OS info, ran plugin 'imageinfo' .\volatility_2.6_win64_standalone.exe -f .\foren.raw imageinfo First, let's print out a list of processes through the pslist plug-in. .\volatility_2.6_win64_standalone.exe -f .\foren.raw --profile=Win7SP1x64 pslist I found a suspicious 'DumpIt.exe' on the full list. The PID for 'DumpIt...
InCTF 2020 Forensics_Investigation Continues
You need to find out these three questions. The last time Adam entered an incorrect password to login The time when the file '1.jpg' opened The last time Adam used taskbar to launch Chrome First, you need to see image information about this vmem file. 1. Goal: The last time Adam entered an incorrect password to login .\volatility_2.6_win64_standalone.exe -f .\windows.vmem --profile=Win7SP1x64 hi..
InCTF 2020 Forensics_LOGarithm
Let's solve the second forensics question. Two pcap and vmem files were given below. First, you need image information about the vmem file. .\volatility_2.6_win64_standalone.exe -f .\Evidence.vmem imageinfo I ran 'cmdscan' because I thought I could find a hint from the command entered in cmd, but I couldn't get any other hints. .\volatility_2.6_win64_standalone.exe -f .\Evidence.vmem --profile=W..
InCTF 2020 Forensics_Investigation
Forensics_Investigation The problem seems to be long, but we just should get Adam's last time using the Windows calculator and the number of times he used Google Chrome. The given file as a problem, is "Investment.7z". You can get the "Windows.vmem" file when you extract it. The 'vmem' file is a backup file of VM Ware's paging files that is volatile and can only be viewed during or paused virtua..
RACTF 2020: Dimensionless Loading, Disk Forensics Fun
Dimensionless Loading 250점 짜리 문제! flag.png 파일이 주어지고 열면 '이 파일을 열 수 없습니다'라고.. HxD로 까봤다. 일단 시그니처 관련해서는 아무 이상 없었다. 한 가지 이상한 점은, 사진 크기를 결정하는 부분이다. 핑크 부분은 width, 보라색 부분이 height를 결정한다. 조금 더 쉽게 보기 위해 010 에디터로 열어보자. 이 곳은 IHDR 청크에 해당하는 부분이다. (조만간 png 파일 구조에 관한 포스팅 올려야지) IHDR은 Image HeaDeR의 약자로, PNG 파일의 기본 정보를 담는 청크다. width, height 모두 '0'이다. 요 부분이당 그래서 사진 크기를 바꿔야겠다는 생각을 했다. 먼저 width와 height 모두 0x0200으로 변경해..
IOLI crackme 0x00 ~ 0x05
crackme0x00 패스워드를 찾는 문제. 일단 포함된 문자열을 찾아봤다. "Password: " 다음 누가봐도 비밀번호일 것 같은 숫자가 있었다. crackme0x01 비슷한 문제다. 바로 전 문제처럼 문자열을 찾아봤지만 그렇다할 단서는 찾지 못했다. 심볼 트리 탭에서 _main 함수를 선택하니 디컴파일 탭에서 비밀번호를 찾았다. 13번째 라인에서 0x149a와 local_8 변수를 비교하는데 맞으면 OK! 어셈블 코드는 이랬다.. 5274를 넣어보자ㅏ crackme0x02 0x01과 같은 문제다. 0x52b24 = 338724 crackme0x03 디컴파일러는 참 좋은 도구이다.. 0x52b24 = 338724 crackme0x04 ?.. 의도치 않게 풀어버렸다 일단 디컴파일된 코드를 보자 디컴파일..
2020 AUCTF
Boom 다운받은 boom.sql.7z 파일은 손상되어 완전한 형태로 압축을 풀 수 없다. 복구가 덜 된 boom.sql 파일은 -- Adminer 4.7.5 MySQL dump SET NAMES utf8; SET time_zone = '+00:00'; SET foreign_key_checks = 0; SET sql_mode = 'NO_AUTO_VALUE_ON_ZERO'; DROP TABLE IF EXISTS `images`; CREATE TABLE `images` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(80) NOT NULL, `image` longblob NOT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFA..
Codegate 2020
LOL LOL.zip 파일을 다운받아 열면 아래 Legend.gif 파일이 있다 징크스다 일단 HxD로 해당 파일을 열어보자 파일 확장자는 .GIF지만, 헥사 에디터로 열어보면 헤더가 FF D8 FF E0 - - 4A 46, 즉 JFIF 파일이다 GIF 파일의 헤더 시그니처는 47 49 46 38 37 61. 검색해봤는데 찾을 수 없어서 GIF는 훼이크고 JFIF라고 확신했다 일단 헤더는 확인했으니 푸터를 확인해보자. JFIF 파일의 푸터는 FF D9이다. "FF D9"를 찾았다. 그런데 그 뒤 다시 FF D8 ~ (JFIF 헤더)가 시작되는 것을 발견했다. 그래서 맨 앞 ~ FF D9, FF D8 ~ 맨 끝 두 부분으로 헥사 코드를 나눠 저장해보니 앞 부분은 원래 받았던 징크스 사진, 뒷 부분은 아래 ..
UTCTF 2020 Chatt with Bratt: Write-Up
라업을 쓰려고 보니 이미 죽어있어서 캡쳐를 못 떴다. 풀이 기록용으로 미리 써둔 문서를 먼저 사용하고 다른 사람의 라업을 참고해서 마무리 짓겠다. 'Bratt Pid'라는 스타와 1:1 채팅을 할 수 있다는 가정 아래 플래그를 얻으면 된다. flag를 물어봤더니 agent한테 물어보라고 한다. 그래서 코드를 바꿔봤다. 네모 친 부분이 Bratt Pid 였던 것 같다. agent로 바꾸고 다시 flag를 물어봤다. 알 수 없는 문자열을 얻었는데 뭔가 의미있어 보여서 좋아했었다.. 물론 저게 플래그는 아니다. 또 몇 개 물어보는데 개발자가 나에게 더 많은 것을 답할 수 있게 했으면 좋았을 거라고 해서 메시지에 붙는 value를 Anon에서 creator로 바꿨다. admin으로도 바꿔봤다(의미 없는 것 같다..
UTCTF 2020 Zero: Write Up
제공받은 zero.txt를 열면 다음과 같다. 전문은 이렇다. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus quis tempus ante, nec vehicula mi. Aliquam nec nisi ut neque interdum auctor. Aliquam felis orci..