Wargame/N0Named Wargame

[N0Named Forensic] [B] 유출된 자료 거래 사건 1

FTK로 열어 SOFTWARE를 내보내고 REGA로 열 생각이다. USB 연결 흔적이 저장되어 있는 레지스트리 경로 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 를 들어가보면, 2개의 키가 존재한다. 플래그 형식에도 2개의 USB가 쓰인 것 같으니 맞는 것 같다. 키 경로 이름 자체에 모든 정보가 포함되어 있다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices\WPDBUSENUMROOT#UMB#2&37C186B&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_SANDISK&PROD_ULTRA&REV_1.00#4C531001431019122384&0# ..

[N0Named Forensic] [C] Left Side B

문제 속에 답이 있다고 한다.. 누가봐도 LSB 문제 파일 task.bmp 를 열어보면 fake flag가 보인다. LSB 스테가노그래피 디코딩을 하기 위해 HxD로 열어보자. 0x7C가 실제 데이터의 시작을 뜻하는 부분이고, 그 곳에는 0xFEFFFEFEFFFF .. 의 데이터가 담겨있다. 이 문제는 LSB 스테가노그래피를 통해 푸는 문제로 생각되므로, 0xFE와 0xFF를 2진수로 바꿔보자. 0xFE = 1111 1110 (2) 0xFF = 1111 1111 (2) Least Significant Bit, 즉 최하위 비트를 살펴보았을 때 0xFE -> 0 0xFF -> 1 로 대체해도 무방하다. 아래처럼 데이터를 0, 1로 바꾸고 8 bit binary를 ascii로 변환하는 코드를 짜면 플래그가 나온다

[N0Named Forensic] [A] 123321123200

fore5.png 파일을 보면, 아래와 같은 구조를 가진다.. PNG / GNP / GNP / ... / GNP / GNP / PNG 여기서 말하는 PNG는 일반적인 파일의 구조이고, GNP는 일반적인 PNG 파일의 헥스값이 byte 단위로 리버스된 구조이다. 여기서 'GNP' 구조가 굉장히 많기 때문에 손카빙을 불가능하고 코드를 짜야한다. 결국 아래 순서대로 이 문제를 풀었다! 앞 뒤의 순행 PNG 떼기 가운데의 리버스 PNG(GNP ~)를 순행으로 하기 위해 [::-1] 시그니처 단위로 PNG 파일을 자르고 저장 저장된 여러 개의 PNG 중 플래그 찾기 몇 개더라.. 77갠가 있고 그 중 47번짼가? 에 있다ㅎㅋ

[N0Named Forensic] [A] 수상한 메일

이런 파일이 주어진다. '첨부파일' 폴더에는 '제출용.hwp' 파일이 담겨있고, '메일내용.txt'은 아래와 같다. 별 내용은 없어보인다. 한글 파일을 실행하면 스크립트 코드가 포함되어 있다고 하는데 여기서 '실행'을 누르면 보안 경고가 '매우 높음'이어서 실행이 불가능하다고 한다. 그래서 수준을 '보통'으로 낮춰보았다. 그리고 재실행해보면 또 보안 경고가 뜨는데, 오브젝트가 등록되어 있지 않아서 그렇다. 여기서 바로 '실행'을 누르면 오브젝트에 대한 상세한 정보를 보기 어려울 것 같아서 '등록 후 실행'을 눌러 먼저 오브젝트 등록을 해보자. 이제 보안 설정 창의 등록된 오브젝트 탭에서 'Script.Shell' 오브젝트가 보인다. 그런데 스크립트 코드는 오브젝트 등록과는 상관없어 보인다... 보기 > ..

[N0Named Forensic] [A] 입사 테스트[2]

task.jpg 파일이 주어지지만 이는 시그니처와 확장자를 교묘하게 변경한 png 파일이다. 1. 헤더 변경: 0x89504E47030A1A0A (변경 전) (변경 후) 2. 푸터 삭제 (변경 전) (변경 후) 3. 확장자 변경: jpg -> png 그러면 이렇게 까만 사진이 보인다. png에서 이쯤해서 안되면 다 청크 문제일거다ㅜ 4. tweakPNG 또는 010editor 등 청크 뷰어로 파일을 열고 청크 수정하기 tweakPNG에서 열어봤더니 IHDR(헤더), IDAT(데이터), IEND 청크를 제외한 fcTL, acTL, fdAT, tRNS 등의 청크가 보인다. fcTL, acTL, fDAT, tRNS를 구글링해보니, 일반적인 PNG 파일이 아니라 여러 PNG를 이어 움짤 형태로 보여지는 APNG..

[N0Named Misc] 일세계_이세계_삼세계

zip 압축을 풀면 아래처럼 무섭게 생긴 애들이 있다. 누가 봐도 game save 파일이어서 뭔가 거대한 걸 설치해야 한다는 생각에 화가 났다. 어서 trial을 다운받자.. ㅎ,, 일단 나는 문제 파일이 어디에 쓰이는지 모르기 때문에 게임을 한 번 실행시켜보고 그 설정 파일이 어디에 남는지 알아야 했다. 실행 후 저장하고 나오니 .minecraft\saves\\ 밑에 문제 파일과 똑같은 파일들이 생긴 것을 발견했다. 이 문제를 빨리 풀고 싶기 때문에 후딱 문제 파일로 덮어씌우고 다시 들어가보자! 경치는 좋지만 아무 것도 찾을 수 없었다.. 결국 gg 치고 껐다. 다시 파일로 돌아가서.. 설정 파일에는 .mca 파일이 많았다. 구글링 해보니 아래와 같은 사이트가 있었다. mca 파일을 드래그 앤 드랍하..

[N0Named Misc] CalCulateit

20개의 산수를 풀어야 한다. 타임아웃 안에 푸는 것은 불가능하므로 알아서 받아오고 값 넘겨주는 코드가 필요하다. 문제에 맞춰 수정해야 해서 코드를 재활용할 수가 없다. 굳이 설명하자면 아래와 같다. 마지막에 p.interactive를 못해서 좀 헤맸다.. 플래그가 우치다...헤헷..흐뭇^_^

[N0Named Misc] 아무 의미 없는 것들도...

이건 저번에 풀어봤던거였다. 아래 링크 들어가서 decode 하면 된다 spammimic - decoded www.spammimic.com

[N0Named Forensic] [B] 유출된 자료 거래 사건[3]

일단 구매자의 동거자가 있었고, 계정이 삭제되었다고 하니 Users 폴더 밑을 먼저 가봤다. 'cocktail'과 'nonamed' 계정이 보이는데.. 아마 'cocktail'이 아닐까 싶다. 정확히 삭제된 계정을 보기 위해 이벤트 로그를 보자. 이벤트 로그는 %SystemRoot%\System32\winevt\Logs 밑에 위치한다. 그 중 계정 삭제 관련 로그는 security.evtx에 쌓일 것이다. system.evtx랑 헷갈릴 수도 있는데, system.evtx는 서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보를 기록하고 security.evtx는 보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그를 기록한다고 한다. 디지털 포렌식 아티팩트 & 증거 분석 기법 ..

[N0Named Forensic] infect

주어진 문제 파일을 FTK로 열었다. 일단 Downloads 폴더에 가봤다. Users/swing/Downloads 폴더에 누가봐도 수상해 보이는 파일이 있었다. Virtual Box 크랙 버전.. 아마 이게 악성코드에 감염된 원인이 아닐까 싶다. 또 그 밑에 'VBOXTE~1.EXE' 라고 삭제된 파일도 보인다. Desktop에는 VboxTester.exe 파일이 있는데,, 그 위에 encrypted 파일이 보인다. 랜섬웨어에 감염되어 파일이 암호화되었나 보다.. 이제 실행 시간을 살펴봐야 한다. 파일의 실행 흔적은 프리패치에 있고 프리패치는 트리에 버젓이 있어서 좋았다. 목록에서 'VBOXTESTER.EXE~.pf'를 찾았다. 일단 Desktop에서 추출을 해봤다..일단 실행 시키니 파일이 막;; 악..

[N0Named Forensic] [C] 어제 뭐 했어?

문제로 주어진 yesterday.pcap 파일이다. 먼저 Conversation을 살펴보자. 운 좋게 첫 번째로 클릭한 패킷이 수상해 보인다.. PK와 함께 flag.txt가 보인다. Raw로 추출해서 'PK' 전까지 다 지워보자. 그러면 flag.txt와 haru.jpg가 보인다. 그런데 암호가 걸려있다. 암호를 찾기 위해 이곳 저곳 둘러보다가 http object list에서 zip, php를 발견했다. 이렇게 찾을 걸.. music.zip은 아까 찾은 파일이고 그에 암호가 걸려 있었으니 , download.php에 암호가 있어줘야 한다. 압축을 해제하니 플래그와 함께 haru.png 라는 이름으로 아래 사진이 들어있었다. 저게 웹툰인지 뭔지 모르겠지만 어제 저걸 보셨나 보다..

[N0Named Forensic] [A] 길에서 주어온 만두

big.png 라는 이름으로 아래 사진이 주어진다. 파일명과 사진으로 봐서 사진에 숨겨진 또 다른 파일을 extract하면 small이 나올 듯 하다. HxD로 까보면 별 건 없고 가장 마지막에 "PASS:1234" 라는 문자열이 있다. png 스테가노그래피 복호화를 지원하는 OpenStego를 통해 extract 시도 똑같아 보이지만 아래는 extract해서 나온 파일이다. 이름은 medium.png 여기서 small.png를 얻기 위해 다른 방법을 쓸 것 같았지만 똑같은 방법으로 2번 반복하면 falg.txt가 나온다. 50점 문제가 더 재밌었다..