Wargame/XCZ.kr

XCZ.kr PROB.1 End Of Image

"WHy So SEriOUS?"라고 적힌 파일을 HxD로 까보자. 헤더는 잘 붙어있다. 하지만 헤더가 이상하다. "FF D9"로 끝나네..? "FF D9"는 png가 아니라 JPEG 파일의 푸터다. 간단히 카빙하면 될 것 같다. 아래 위치에서 png 푸터와 함께 jpg 헤더를 찾았다. 딱 잘라보자. 바로 나온 플래그

PROB.27 XCZ Company Hacking Incident

다운받은 7z 파일을 열어봅시다. XCZ라는 폴더가 하나 주어집니다. 그 안에는 꽤 많은 하위 폴더, 파일들이 있는데 아래 사진에 보이는 경로대로 들어가면 'Outlook Express'라는 이름의 폴더를 발견할 수 있습니다. 많고 많은 폴더 중에 'Outlook Express'를 선택한 이유는, 문제에서 얻은 키워드 때문입니다. "외부로 유출하는"에 가장 적합한 프로그램이 이메일이라고 생각했습니다. Outlook Express 폴더에는 아래와 같은 .dbx 파일이 4개 있습니다. 아래 링크를 통해 dbx viewer를 설치할 수 있습니다. 첫 번째 링크는 유료, 다음은 무료입니다. 저도 무료 툴을 이용하였습니다. DBX viewer for corrupted Outlook Express folders H..

XCZ.kr PROB.24 Memoryyyyy Dumpppppp

파일을 다운받아 볼라틸리티로 분석해보겠습니다. 먼저, 아래처럼 imageinfo를 살펴보겠습니다. 플래그 형식을 보면, 프로세스 이름을 써야합니다. 프로세스 리스트를 일차적으로 살펴보겠습니다. Mmm.exe라는 수상한 이름의 실행 파일이 보입니다. 하지만 이 정보로만은 플래그를 작성할 수 없기 때문에 네트워크 정보를 더 살펴보겠습니다. 딱 한 개의 프로세스만 추출되었습니다. 포트 번호는 80, PID는 1124라고 하네요. 이전에 실행했던 pslist의 추출 결과에서, PID가 1124인 것을 보면, nc.exe 입니다. 그리고 2012년 11월 2일은 금요일이네요!

PROB13. [150] Network Recovery!

다운로드 받았는데 뭔가 pcap 넣어보고 싶게 생겼다 역시 Wireshark capture file이었다 음... 여기에 HTTP가 보여서 필터 검색을 해봤어여 그러다가 이 친구 발견!! 일단 저장을해서 확장자를 설정해줬슴니다 그래서 기쁜 마음에 열어봤더니 아무것도 얻을 수 없었다ㅜ 그래서 어쩔까 생각해보다가... png 맨밑 헥사값이 애매하기도 하고 treasure 1, 2, 3인데 2, 3만 text인게 수상해서 순서대로 1뒤에 붙여봤다 잉 그랬떠니 나왔다 헤헤 얘를.. Key Format = lowercase(md5("Key")) 포맷에 맞춰서,,, md5로 복호화해보니 이렇게 나왔고 다 소문자라서 기냥 넣었다

PROB32. [100] Easy Trick

URL 쿼리로 a의 값을 올바르게 넣어주면 풀리는 문제! 쿼리를 잘못 넣어주면 Failed ur tirkcs가 뜨네여 기분나쁨^^ 소스 페이지를 보면 ??? 부분이 있는데, a 자료형에 관한 선언부가 없어서 Type Juggling이라는 걸 할 수 있다고 합니다 즉 내가 알아서 해놓으면 된다는 것.. 뒤에 ???부분을 자릿수 제대로 맞춰서, 그 대신 아무 거나 넣어보겠습니다 자릿수 맞추기 어렵다... 29자리네여

[미완] PROB36. [100] File Deleted

Prob File 위 설명글이랑 file_deleted.7z 파일을 받았고 또 푸니까 unl이 뜨네요 파일 이미징을 위해, FTK로 파일을 열어볼게요!