Wargame/SuNiNaTaS

    SuNiNaTaS 31 (FORENSICS 200pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 31 (FORENSICS 200pt)

    31번 문제! 'Hello_SuNiNaTaS'라는 이름의 PDF 파일이 주어진다. 눈에 보이는 특별함은 없다. PDFStreamDumper를 통해 열어보았다. 37번째, 자바스크립트 코드가 보인다. 윗 부분은 b64 디코딩 코드인 것 같고, 그 밑 문자열을 긁어모아서 10번 b64 디코딩하니 이런 문자열이 나왔다ㅋ 더 찾아봤다. 39번째 헤더에서 PDF라는 문자열이 보인다. 찾아보니 이 안에 또 다른 PDF가 숨어있는거라고 한다. 여기서 스트림을 뽑아냈다. txt로 받아질 텐데 pdf로 확장자를 바꾸고 열어보면 "보안"이라는 표시와 함께 아무 것도 안뜬다. PDFStreamDumper에 넣어보니 암호화되었다고 복호화할거냐고 묻는다. 여기서 "예" 눌러도 안된다. 다른 툴을 써야한다. 여러가지 PDF un..

    SuNiNaTaS 13 (200pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 13 (200pt)

    소스 코드를 보자   KEY Finding '프로그래머의 잘못된 소스백업 습관'이라는 힌트가 있다. 해답은 URL에 있다. web13.asp를 web13.zip으로 바꿔보자. 그러면 web13.zip이라는 이름의 압축 파일이 보인다. 파일은 암호가 걸려있어서 바로 풀 수 없다 - 4자리 정수의 비밀 번호라고 한다. AZPR을 사용해 크랙을 진행했다. 아래처럼 옵션을 넣어주니 바로 비밀번호가 나온다 "7642" 풀면 4개의 사진과 TXT 한 개를 볼 수 있다. "이미지를 합하여 key"를 구하라... 막상 보니 매우 쉬운 거였다. HxD로 까보니 바로 나온다. key: 3nda192n84ed1cae8abg9295cf9eda4d

    SuNiNaTaS 30 (FORENSICS 366pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 30 (FORENSICS 366pt)

    볼라틸리티에 넣어보자. .\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' imageinfo 먼저 김장군 PC의 IP 주소를 알아야 하니까 netscan 이용했다. .\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' --profile=Win7SP0x86 netscan 그랬더니 반복적으로 나오는 한 개의 Local Address가 있었다. 1. 김장군 PC의 IP 주소는? 192.168.197.138 다음으로 열람한 기밀 문서를 찾아야 한다. 실행한 명령어 이력을 보기 위해 cmdscan을 사용했다. .\volatility_2.6_win64_standalone.exe -f..

    SuNiNaTaS 29 (FORENSICS 266pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 29 (FORENSICS 266pt)

    3.4 기가짜리 윈7 파일을 받았다. 먼저 HxD로 까봤더니, EGG 파일이라고 한다. 그래서 이렇게 확장자를 바꿔보고 압축을 풀어봤다. 뭔가 반가운 마음에(?) vmx를 열어봤는데, 부팅되자마자 아래 창이 뜨더니 30초 단위로 무한 재부팅되길래 -a 옵션으로 취소를 일단 시켰다. 동시에 FTK Imager를 통해 vmdk도 열어봤다. 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 일단 지문대로 네이버에 들어가봤다. 진짜 워닝이 뜬다. 이거는 DNS 매핑 문제 때문일 것이다. hosts 파일에서도 관리할 수 있다고 본 것 같다.. 아래 경로로 들어가서 hosts를 찾았다. 가상머신 윈도우에서는 숨김 파일 보기 처리해주면 되는데 귀찮..

    SuNiNaTaS 26 (FORENSIC 200pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 26 (FORENSIC 200pt)

    빈도 분석을 통해 이 암호문을 해석하라고 합니다. 공백과 점은 생략되어 있다고 하네요. 먼저, 빈도 분석을 하기 위해 간단한 파이썬 코드를 작성하였습니다. from collections import Counter value = "SZQKAGCZVCVYABPSYINCGOZDAINVSCBNIVPNZVBPNYFKQHZMMPCQHZYGZGFCXZNVVZGDFNVBPNJYIFXMPCQHZYGBPNOYAIMYGBZGNGBVMPCQHZYGCBPINNBZQNDICGXHIZTOZGCFMPCQHZYGBPNJYIFXEAGZYIMPCQHZYGBPNEAGZYIDICGXHIZTOZGCFMPCQHZYGCGXCOYAIBZQNVYABPSYINCGGCBZYGCFMPCQHZYGSZQZVBPNOZIVBVYABPSYINCGOZDAINVSCB..

    SuNiNaTaS 21 (FORENSIC 221pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 21 (FORENSIC 221pt)

    간단한 카빙 문제입니다. monitor.jpg를 HxD에 까보겠습니다. JPEG 파일의 푸터인 'FF D9'를 검색해보면 여러 개가 나옵니다. 헤더를 검색해도 좋습니다. 어떻게든 카빙을 해보면 아래와 같은 사진을 얻을 수 있습니다. 문제 사진에 가려져 있던 키의 앞 쪽 부분이 보입니다.

    SuNiNaTaS 19 (FORENSICS 154pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 19 (FORENSICS 154pt)

    구글링해서 나오는 컨버터 사이트 중에는 이게 제일 나은 것 같아요 Convert text to binary - Converters About Convert text to binary tool Convert text into binary. Computers store all characters as numbers stored as binary data. Binary code uses the digits of 0 and 1 (binary numbers) to represent computer instructions or text. Each instruction or symbol gets www.unit-conversion.info binary -> text 그렇게 나온 문자열이 아래와 같습니다 NVCTFDV..

    SuNiNaTaS 15 (FORENSICS 255pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 15 (FORENSICS 255pt)

    mp3 파일이 하나 주어집니다. 나비의 다이어리! mp3 파일의 시그니처는 '49 44 33(ID3)' mp3 파일 받자마자 Audacity로 파형, 스펙트럼 부터 찾아봤습니다. 0, 1을 아스키로 변환하거나, 베이컨 암호거나, 모스 부호거나... 생각했는데 정말 아무 것도 안나왔슴다 그래서 그 스펙트럼을 캡쳐해서 아래 사이트가서 삽질을 시작했슴다 Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch ..

    SuNiNaTaS 11 (REVERSING 198pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 11 (REVERSING 198pt)

    Unregister라는 폴더에는 Project1.exe 파일이 있다. Register 버튼을 누르면 아무 창도 안뜬다. 일치하는 키를 입력하지 않으면 아무런 동작도 안한다. PEiD로 먼저 패킹 여부를 보자..! Delphi는 처음 들어봤는데 이렇다고 한다.. 그럼 일단 가볍게 문자열을 추출해보자 지금까지 다뤘던 것보다 추출된 문자열이 매우 많은데 의미있는건 가장 마지막 부분인 것 같아서 떠왔다. "2V", "XS", "B6", "H1", "0F", "Authkey : ", "Congratulation!"이 보인다. 그 밑에는 영소문자와 숫자로 이루어진 문자열도 보인다. 일단 가장 첫 "2V", 004502C6으로 가보자. 이 부분인데 EBX+310부터 318, 31C, 314, 320 순으로, 즉 "2..

    SuNiNaTaS 28 (FORENSICS 200pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 28 (FORENSICS 200pt)

    down 버튼을 누르면 zip 파일이 다운되는데 아래 3개 파일이 들어있고 암호가 걸려있다. 일단 zip 파일 구조를 살펴보자. 다음은 So_Simple.zip 파일의 헥스 코드다. 일단 헤더 - 50 4B 03 04, 푸터 - 50 4B 05 06도 잘 붙어있고 파일 3개가 담겨있으니 50 4B 01 02도 3개씩 잘 있다. 더 자세한 구조를 살펴보다가 (아래 링크 참조) 바로 이 부분!이 Flag를 나타내는 곳이라는 걸 알게되었다. 7, 8번째 바이트 부분 중 (offset은 06, 07) 0번째 bit 가 파일 암호화 유무를 나타낸다고 한다. 출처: https://m.blog.naver.com/PostView.nhn?blogId=koromoon&logNo=220612641115&proxyRefere..

    SuNiNaTaS 16 (SYSTEM 155pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 16 (SYSTEM 155pt)

    다운로드 버튼을 클릭하면 packet_dump.zip 파일이 다운되고, 그 안에는 피캡 파일이 있다. 지문에 회원을 위한 비밀번호를 찾으라고 했으니 로그인 폼, http 프로토콜이라고 생각해서 필터를 설정했다. 필터링해도 패킷이 엄청 뜨는데 그 중에 로그인 넘기는 POST만 찾아보니 6개가 나왔다. 클라이언트(써니나타스 회원)이 10.16.7.21, 서버(써니나타스)가 211.233.89.203이넹 패킷 하나 하나 들어가보니 Hid, Hpw가 들어있다. 위 6개 패킷을 다 확인했더니 다 다른 id, pw가 6쌍이 나왔다. 하나하나 해보자.. 그런데 일단 패킷에 나온 URL은 죽었다 그래서 써니타나스 홈페이지 로그인 폼에 시도해봤다.. 1. suninatas - suninatas: 로그인 실패 2. bla..

    SuNiNaTaS 9 (REVERSING 144pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 9 (REVERSING 144pt)

    닥 이 사이트를 방문하자 Download를 누르면, SuNiNaTaS.zip 파일이 다운로드 되고 그 안에는 Project1.ext라는 실행파일이 들어있다. 그리고 압축을 푸려면, 암호를 입력해야 한다. 암호는 suninatas, 문제에 주어져있다. Project1.exe를 열어보자. 실행시키면 위의 프로그램이 뜨는데 뭔지 모르겠어서 올리디버거로 열어봤다. 봐도 잘 모르겠어서 일단 문자열부터 보기로 했다. 프로그램에 사용된 문자열 추출하기: 마우스 오른쪽 클릭 - Search for - All referenced text strings Congratulation 위에 913465라는 딱 봐도 AuthKey인 것 같은 숫자가 있다. 그대로 입력하니 풀렸다! 문제는 풀었지만 이제 막 리버싱을 시작한 내가 문..

티스토리툴바