Wargame/ctf-d.com
![[ctf-d Network] DefCon #21 #1](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FNYEcj%2FbtqYTN8PnY4%2FJgu3Rg2qZv2bgiUNkfNoH0%2Fimg.png)
[ctf-d Network] DefCon #21 #1
Conversation 탭에서 172.29.1.50 46.165.193.136 간 대화를 보면 "Hi Greg :)", "Hi Betty"를 통해 문제에 언급된 Betty를 발견할 수 있다. 그리고 Jensen의 풀네임이 Greg Jensen이 아닐까.. 하는 의심! 거기서 Greg이 "what day do you want to meet up?"이라고 회의의 '날짜'를 묻는 것이 보인다. #s3cr3tsp0t라는 키워드가 보이며 URL 인코딩된 값도 보인다. 디코딩해보면 How does Wednesday sound? -> How does Wednesday sound? Great :) what time? -> Great :) what time? ah 2pm -> ah 2pm Ok, I can't ..
ctf-d.com flagception
logo.png는 아래와 같습니다. 깃발에 플래그가 있다고 하네여 처음에 헥스디로 열어보니까 . . . .이런게 보이길래 whitespace steganography인 줄 알고 SNOW.EXE 로 해봤는데 안되더군요 그래서 error level을 조정해봤더니 저런게 보였고 stegsolve로 제대로 해보니까 잘 보였슴다 화질구지.. 암튼 까만건 1로, 하얀건 0으로 하니까 2진수 8비트 20줄이 나왔고 (노가다..) 여러분들은 코드를 짜세여 1000010 1001001 1010100 1010011 1000011 1010100 1000110 1111011 1100110 0110001 1100001 1100111 1100011 0110011 1110000 1110100 0110001 0110000 11011..
ctf-d.com DOS 모드에서는..
stegano2.jpeg라는 파일의 이름부터 스테가노그래피 문제라는 걸 알 수 있다. 사진은 아래와 같다. HEX를 봐도 의미없다는 뜻같다. 진짜 의미없었음 스테가노그래피 풀어주는 사이트 돌면서 좀 삽질 좀 하다가.. foremost를 사용했다 ㅇㅣ렇게 그러면 이게 생김 플래그가 나옵니다
ctf-d.com google
google.png는 다음과 같습니다. 잘 보면.... 빨간 점이 몇 개 있습니다. 진짜 잘 보면.. 저 점 위치만 찾으면 된다는 생각에 아래처럼 코드를 짜봤는데 from PIL import Image FLAG = "" target = Image.open("google.png") w, h = target.size for i in range(h): for j in range(w): r, g, b = target.getpixel((j, i)) if r==255 and g == 0: FLAG += chr(b) print(FLAG) 이런 에러가 ㅠ 여기서 난 에러였슴다 함수가 주는 인자 다 안받고 return 하는 인자가 더 적어서 발생하는 에러라고 합니다.. 그래서 아래처럼 수정했어요 그렇다고 합니당 from..
ctf-d GrrCON 2015 #5
이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #4 ctf-d GrrCON 2015 #4 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #3 ctf-d GrrCON 2015 #3 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문.. hec-ker.tistory.com 1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가? th3wh1t3r0s3@gmail.com 2) 공격자가 프런트 데스크..
ctf-d GrrCON 2015 #4
이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #3 ctf-d GrrCON 2015 #3 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로.. hec-ker.tistory.com 지난 번 #3까지 풀었던 내용으로는 다음과 같습니다. 1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가? th3wh1t3r0..
ctf-d GrrCON 2015 #3
이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시.. hec-ker.tistory.com 지난 번 #2까지 풀었던 내용으로는 다음과 같습니다. 1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가? th3wh1t3r0s3@gmail.com 2) 공격자가 프런트..
ctf-d Find Key(Image)
head.png는 요래 생겼습니다. 지금은 잘 안보이는데 얘를 저장하고 보면 이렇게 배경이 잘 보입니다. 이 배경이 반복되죠? 6행 8열로 보면, (white - 0 black -1) 01010011 - 00110100 - 01001110 - 01000011 - 01001000 - 00110000 이렇게 나타낼 수 있져 MD5(S4NCH0) = 975186cff0a2bfd07862175d40fa36ff
오른쪽 위의 표지판을 읽을 수...
F100.png 파일을 다운받으면 이렇게 눈이 안좋아집니다. 딱 봐도 툴을 써야하는데 저는 무슨 툴을 써야하는지 몰랐기 때문에 사진을 선명하게 만들어주는 게 뭐가 있을지 구글링을 해봤고, 아래와 같은 사이트를 발견했습니다. SmartDeblur - Download smartdeblur.net 다운을 받고, Detect type: Out of Focus Blur Radus: 21.1 로 설정하니 보이네요.
ctf-d 원래 의미가 없는 것들도…
spam.txt는 아래와 같습니다. 마음대로 개행되어있고, 중간 중간 대문자로만 쓰인 단어도 보입니다. 처음에는 대문자로만 쓰인 단어를 따로 추출해서, 아스키로도 뽑아봤는데, 의미 없었습니다. 아래 사이트를 발견했기 때문이죠..ㅎ spammimic - hide a message in spam www.spammimic.com 아래는 이 사이트의 설명 탭인데, 자랑스럽게 설명해줍니다. 내 메시지는 안전하고 그 누구도 암호화되었는지 '알 수 없다' 저도 이게 암호문인지 몰랐으니까 괜찮은 암호화인 것 일지도... 너무 쉽게 풀리긴 하지만요 이런 식으로 디코딩하면 바로 플래그가 보입니다. 큰 의미는 없었지만 문제 만들 때, 최후의 플래그를 보여주기 직전에 이런 식으로 꼬아도 재밌을 것 같긴 합니다.
GrrCON 2015 #2
아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시적으로 중지 된 것. VM이 일시 중단 될 때 소프트웨어에 �� hec-ker.tistory.com 먼저 imageinfo를 살펴봤습니다. 그 후 pslist를 뽑아 '이메일' 키워드와 관련된 "OUTLOOK.EXE"의 PID를 확인하고, memdump를 사용해 덤프를 떴습니다. 그 dmp 파일의 문자열을 추출해 3196.txt로 뽑아내고 플래그 형식인 '.exe'로 검색하니, 특정한 실행 파일 한개를 발견했습니다.
ctf-d 저희는 디스크 이미지를 찾았습니다. (100)
FTK, Autopsy로 열어봤지만 깨졌습니다 그래서 HxD로 까봤어요 쭉 내리다보니 JFIF 라는 문자열을 발견할 수 있었고 잘 보니 JFIF 헤더 시그니처가 보이네여 그래서 처음 ~ 001403FF 까지 삭제해봤습니다 그랬더니 바로 플래그가 나왔 그런데 'FF D8 FF E0 00 10 4A 46(헤더)', 'FF D9(푸터)'가 아직 꽤 많았어요 근데 다 훼이크였고 라이언 구슬링 사진잌ㅋㅋㅋ 암튼..