Wargame/ctf-d.com

[ctf-d Network] DefCoN#21 #4

문제 파일을 NetworkMiner에 넣으면 2개의 Message가 카빙된다. 메시지 데이터가 마크업 언어로 되어 있고 'KML' 문자열을 검색하니 '키홀 마크업 언어'라고 한다. 그래서 kml 마크업 시작부터 쭉 긁어와 s3cr3t.kml 파일을 메모장에 작성했다. kml 문법을 모두 아는 건 아니지만 대충은 이해가 가능했다. KML이 쓰이는 대표적인 곳이 구글 어스라고 하니 파일 뒷부분의 숫자는 좌표를 의미할 것이다. 하지만 파일의 끝이 쉼표로 되어 있어 데이터가 중간에 잘린 듯하여 손카빙이 필요했다. 먼저 와샥에서 해당 메시지가 들어간 패킷을 찾고 requests 필드값을 모두 복사했다. 그 후 URL Decoder에 넣어보니 네트워크 마이너에서 카빙된 숫자 뒤에 더 많은 숫자들이 있었다. 그 후 ..

[ctf-d Disk] 서울에 위치한 X 에너지 기업이…

주어진 파일을 analyzeMFT 툴을 이용해 정돈된 형태로 출력했다. 내보낸 엑셀 파일에서 'exe'를 찾으려고 했다. '악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적'이라고 언급했기 때문에 일단 exe 실행 파일 중 수상한 것이 있을 수도 있다는 생각 때문이었다. 검색 결과 setup.exe, WinHex.exe, upgrader.exe 그리고 r32.exe를 찾을 수 있었다. 그 중 r32.exe가 누가봐도 수상해보인다. 문제 지문에서 흔적을 지우려고 시도했다는 정보를 주었기 때문에 휴지통에 위치하며 프로그램명이 익숙지 않은 r32!가 범인이다. r32.exe에 관한 정보만 따로 뽑아 메모장에 복붙한 것이다. 여기서 생성 시간을 찾을 수 있다. 2012-02-22 17:39:18..

[ctf-d Network] DefCoN#21 #3

Conversation 창에서 다음과 같은 패킷을 찾을 수 있다. 라는 문자열이 포함된 것을 보니, 동영상 파일을 카빙하는 것이 중요할 것 같다. 일단 140 KB 통신 패킷을 Raw로 선택해 다른 이름으로 저장하였다. MP4 파일의 헤더 시그니처는 '00 00 00 18 66 74 79 70'이다. 또 검색이 쉽게 잘됐다. 이전은 싹 다 지우고 파일명 뒤에 MP4를 붙이면 아래와 같은 동영상이 나온다. "YOU HAVE DIED OF DYSENTERY"

[ctf-d Network] DefCoN#21 #2

Betty와 Gregory가 만나기로 한 도시를 찾는 문제다. 문제 패킷을 Network Miner에 넣어보자. 이 곳에서 총 3개의 메시지를 확인할 수 있다. (1) 만나기로 한 수요일에 Betty가 노쇼했나 보다. 그리고 친구 없이 단 둘이서만 만나자고 하며 '그 곳'에 대한 비밀번호를 보낸다. - PW: S3cr3tVV34p0n - Betty's mail: betty_swindoll@aol.com - Greg's mail: d34thm3rch4nt@aol.com (2) 별 내용없다. 그냥 Greg도 가겠다고 한다. (3) 마지막 메시지를 푸는 것이 문제의 해답이 될 것이다. 'PRIVMSG'라는 명령어와 파라미터로 보아 [PRIVMSG D34thM3rch4nt
DCC SEND r3nd3zv0us ..

[ctf-d Network] 조용할수록 더 귀를...

주어진 문제 파일은 gzip. 압축을 풀면 PrivateChannel.pcap.pcapng라는 독특한 확장자를 가진 와샥 캡처 파일이 나온다. 처음 파일을 열면, 흰색 컬러링 패킷이 특징적으로 많이 보인다. 컬러링 룰을 보면, 이더넷을 통해 브로드캐스팅 된 패킷이 흰색임을 알 수 있다. 일단 Conversations > TCP 패킷을 보니 CDAISIWillWin 이라는 문자열이 들어있었다. 당연히 훼이크! 이거 말고는 별다른게 없어서 tshark로 넘어갔다. 맨 먼저 의심스러워 보이는 흰색 패킷.. 진짜 뭐가 없다 개속았다. 그 다음으로는 ICMP 패킷이 많았다. 재밌는게 unreachable이 몇개 있고 id 존재하는게 5개 있고 나머지는 다 id == 0이었다. 처음엔 저 id값을 조합하나 했지만 ..

[ctf-d DISK] 2012_CodeGate_F200 (서울에 사는 IU가 특정 웹 …)

1_UNI/**/ON_SELECT|2012-02-1210:23:17

[ctf-d DISK] 2012_CodeGate_F300 (IU는 악성코드에 의해 감염된…)

HxD에 이미지 파일을 넣어보면, '7Z'라는 시그니처가 보인다. 파일 확장자를 '7z'으로 바꾼 후 압축을 풀어보자. 'Users'라는 이름의 폴더가 주어진다. FTK Imager에서 Contents of a Folder를 선택하여 분석을 시작해보자. 폴더 내 주어진 파일은 단 한 개다. 'proneer > AppData > Local > Google > Chrome > User Data > Default' 경로에 'Cookies'라는 파일이 있다. 해당 파일을 추출해 HxD에 넣어보면, 'SQLite format'이라는 시그니처가 보인다. 계속 내려보면 'docbe.com', 'nate.com', 'doubleclick.net' 등의 URL이 보인다. 'forensic-proof.com'이라는 pro..

[ctf-d DISK] 2012_Defcon20_F100-find_key (Find Key(slack))

문제 파일 이름은 find_key지만 사이트에서 Find Key(slack)이라고 해버려서 스포된 문제.. 먼제 gz을 풀고 FTK에 넣으면, 또 gz을 풀어야 한다 그럼 root 밑에 엄청 많은 패키지들이 보인다.. 이상하게 unallocated space에 파일이 엄청 많았다. 추출해서 문자열을 뽑으려고 했는데 없다. 그래서 슬랙 뽑아주는 Sleuth Kit의 blkls를 이용해보려고 했다. www.sleuthkit.org/sleuthkit/download.php The Sleuth Kit: Download www.sleuthkit.org 그런데 윈도우 환경에서는 공백만 출력되고 아무 것도 안나왔다. 혹시나 해서 우분투에서 해보니까 됐다.. 왜지?

[ctf-d DISK] 경찰청은 최근 아동 성폭력…

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모..

[ctf-d Network] woodstock-1

그냥 여기 보임

[ctf-d Network] Sans Network Forensic [Puzzle 3] #1

문제에 IP 주소가 언급되어 있으니 와이어샤크 컬럼을 추가하여 간단히 해결할 수 있다. 출발지와 목적지 MAC 주소 -> eth.addr 출발지 MAC 주소 - eth.src 도착지 MAC 주소 - eth.dst

[ctf-d DISK] X 회사의 재정 정보를 훔치기…

문제의 키워드는 '재정 정보', '컴퓨터를 끄지 않는', 'EXCEL 파일', '14:00시' 정도로 추릴 수 있을 것 같다. 몇 번의 삽질이 있었지만, 먼저 아래 경로에서 최근에 실행한 Office 어플들의 목록을 볼 수 있다. C:\Users\user\Desktop\Users\proneer\AppData\Roaming\Microsoft\Office\Recent 이 곳에서 '[Top-Secret]_2011_Financial_deals'라는 수상한 엑셀 파일을 발견했다. 이에 대한 자세한 정보를 얻기 위해 UFTLnkParser를 사용해 해당 경로의 lnk 파일 정보를 출력했다. 그 곳에서 전체 경로와 파일 사이즈를 찾았다. full_path = C:\INSIGHT\Accounting\Confidenti..