Wargame/ctf-d.com
splitted (100)
본격적으로 파일을 분석하기 전에 HxD로 까봤다. 혹시 몰라 'flag'라고 검색해보니 아래와 같이 'flag.zip'라는 파일명이 다수 보였다. 통신에 쓰일 각이다. 와샥으로 pcap 파일을 열어봤다. 간간히 flag.zip라는 파일명이 보였고, 얼마 후엔 'Partial Content'를 발견할 수 있었다. 요청한 flag.zip을 나눠서 보내는 그 조각이 Parial Content일 것이다. 더 좋은 방법이 있겠지만, Length 값 내림차순으로 정렬하니 Partial Content를 전송하는 패킷만 모을 수 있었다. 그 중 아무 패킷이나 까봤더니 'flag.psd'라는 파일명도 볼 수 있었다. psd 파일이 포토샵 파일로 알고 있는데, 아마 저 데이터들을 모아 포토샵으로 열면 플래그가 있을 것 같..
basics (100)
여기에 들어가서 https://29a.ch/photo-forensics/#pca Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 이렇게 조정했더니 이런 플래그를 발견했다
이 파일에서 플래그를 찾아라! (100)
sunrise.zip 안에 sunrise.png가 있었음 헤더 푸터도 잘 있음 이건 저번에 만든 png 파일 구조 중 일부.. 세로 크기를 이렇게 수정해보면 이렇게 밑에 플래그가 보인다.
내 친구는 이것이 특별한..., 계속 주시해라! (100)
img.jpg 입니다 HxD에 까봤습니다 바로 플래그가 보였어여 아래 사진이 Proxy.jpg HxD로 까봤더니 역시 푸터 부분에 플래그가 있었다.
GrrCON 2015 #1
vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시적으로 중지 된 것. VM이 일시 중단 될 때 소프트웨어에 의해 자동으로 생성되고, 스냅 샷 (.VMSN 및 .VMSD 파일)과 다름. Volatility 사용하자 옵션과 플러그인 설명 여기까지 psscan 출력 결과이다. 여기서 다시 한 번 문제를 보면, '이메일'이 키워드다. 키워드 '이메일'과 관련한 'OUTLOOK.EXE'가 보인다. OUTLOOK.EXE의 PID는 3196, 이를 덤프 떠보자. 3196.dmp 파일을 얻었다. 이제 strings.exe를 사용해서 덤프가 포함한 문자열을 추출해보자. '@', '.co..
Three Thieves Threw Trumpets Through Trees (100)
jpg를 얻었다! 사진은 깨집니당 wav 파일이었다 wav로 변경했고 들어보자 1초짜리고 뭐라는지 모르겠지만 대충 거꾸로 돌려야겠다는건 알겠다. 결국 원본에서 -> 좌우 뒤집기 -> 3초로 늘리기 이렇게 변조한 파일을 들었더니 남자가 플래그를 말해주고있었다.
Find Key(moon) (100)
moon.png가 주어졌다. 일단 png 파일이 주어졌을 때 예상되는 일이 몇 가지 있다. 사이즈 조정, rgb 디코딩, 이미지 값 조정 등.. 일단 hxd에 넣어 헥스값을 관찰하자. png 파일의 헤더, 푸터는 89 50 4E 47 0D 0A 1A 0A, 49 45 4E 44 AE 42 60 82이다. 헤더는 잘 있다. 그런데 푸터 뒤에 '50 4B 03 04 ~' 이렇게 ZIP 파일 포맷이 보인다. 그 밑에 flag.txt 라는 수상한 이름도 보인다. 아마 zip 파일을 만들어 풀면, 그 안에 플래그가 있지 않을까 싶다. 그래서 PK 부터 딱 떼어서 새로운 파일, moon.zip을 생성했다. moon.zip!!! 역시 flag.txt가 있다. 그리고 암호가 있다~ 암호는 파일 이름인 moon 이었다...
A회사 보안팀은 내부직원… (100)
내부 문서를 외부로 업로드한 흔적이 있을 것이다. 업로드 시간, 수정 시간, 파일 이름, 파일 사이즈를 구하면 된다. 일단 evidence.001을 풀고 FTK에 넣어보자! Partition 1 -새 볼륨 - [root]에서 위 사진과 같은 파일을 10개 발견했다. 파일들은 이런식으로 .app/Documents/Library/tmp, 4개의 폴더가 있었다. 이 정보를 통해 10개의 폴더가 각각 어떤 어플의 폴더인지 알 수 있었다. 아래 10개이다. Weather.app CGV2.app CNN-iPhone.app Podcasts.app Dropbox.app WebViewService.app HousekeepingLog.app MyPainting.app HarooNotes.app dayalbumlite.ap..
우리는 이 파일에 플래그를...
말그대로 flag.. 확장자가 없어서 무슨 파일인지 알 수 없다. 010 editor로 열어봤다. pW, 'flag.str'는 보인다. 음.. 그래도 모르겠다 그래서 파일 확장자를 모를 때 이게 어떤 파일인지 알 수 있는 방법이 없을까 찾아보다가 'exiftool'이라는 것을 발견했다. https://exiftool.org/ ExifTool by Phil Harvey 0 (Information Type) AFCP, AIFF, APE, APP0, APP1, APP11, APP12, APP13, APP14, APP15, APP4, APP5, APP6, APP8, ASF, Audible, CanonVRD, Composite, DICOM, DNG, DV, DjVu, Ducky, EXE, EXIF, ExifToo..
사진 속에서 빨간색이… (100)
hidden.png는 아래 사진이다. 개귀욤 일단 HxD 헤더, 푸터 잘 있다. 이미지 속 플래그를 숨겨놓은 스테가노그래피 문제일 각인데 '빨간색'이 힌트니까 색상값을 변조했을거라 생각했다. 일단 플래그는 아래 사이트에서 드랍만 해서 찾을 수 있었다. https://osric.com/chris/steganography/decode.html They Live Steganography - Decode Image Decode an Image Use this page to decode an image hidden inside another image (typically a .png file) using They Live Steganography. A Chrome extension is also available..
저는 플래그를 이 파일에.. (100)
just_open_it.jpg는 이렇게 생겼다. 일단 HxD로 열어보자. 일단 확장자는 시그니처랑 일치한다. 그런데 계속 내리다 보면 이상한 부분이 등장한다. 이런 부분이 코드 내내 간헐적으로 등장한다. 푸터도 잘 있다. 처음엔 카빙 문제인가 했는데 푸터도 하나만 있고.. 중간 중간 등장하는 00 28 A2 8A를 다 없애야 하나.. 도 생각하다가 그냥.. 플래그 포맷이 있을까 해서 찾아봤는데 풀려버렸다