[N0Named Misc] CalCulateit 20개의 산수를 풀어야 한다. 타임아웃 안에 푸는 것은 불가능하므로 알아서 받아오고 값 넘겨주는 코드가 필요하다. 문제에 맞춰 수정해야 해서 코드를 재활용할 수가 없다. 굳이 설명하자면 아래와 같다. 마지막에 p.interactive를 못해서 좀 헤맸다.. 플래그가 우치다...헤헷..흐뭇^_^ Wargame/N0Named Wargame 2021.05.20
[N0Named Misc] 아무 의미 없는 것들도... 이건 저번에 풀어봤던거였다. 아래 링크 들어가서 decode 하면 된다 spammimic - decoded www.spammimic.com Wargame/N0Named Wargame 2021.05.20
[N0Named Forensic] [B] 유출된 자료 거래 사건[3] 일단 구매자의 동거자가 있었고, 계정이 삭제되었다고 하니 Users 폴더 밑을 먼저 가봤다. 'cocktail'과 'nonamed' 계정이 보이는데.. 아마 'cocktail'이 아닐까 싶다. 정확히 삭제된 계정을 보기 위해 이벤트 로그를 보자. 이벤트 로그는 %SystemRoot%\System32\winevt\Logs 밑에 위치한다. 그 중 계정 삭제 관련 로그는 security.evtx에 쌓일 것이다. system.evtx랑 헷갈릴 수도 있는데, system.evtx는 서비스 실행 여부나 파일 시스템, 디바이스 오류 등의 정보를 기록하고 security.evtx는 보안 관련된 이벤트 로그, Windows 로그온, 네트워크 등 다양한 로그를 기록한다고 한다. 디지털 포렌식 아티팩트 & 증거 분석 기법 .. Wargame/N0Named Wargame 2021.05.19
[N0Named Forensic] infect 주어진 문제 파일을 FTK로 열었다. 일단 Downloads 폴더에 가봤다. Users/swing/Downloads 폴더에 누가봐도 수상해 보이는 파일이 있었다. Virtual Box 크랙 버전.. 아마 이게 악성코드에 감염된 원인이 아닐까 싶다. 또 그 밑에 'VBOXTE~1.EXE' 라고 삭제된 파일도 보인다. Desktop에는 VboxTester.exe 파일이 있는데,, 그 위에 encrypted 파일이 보인다. 랜섬웨어에 감염되어 파일이 암호화되었나 보다.. 이제 실행 시간을 살펴봐야 한다. 파일의 실행 흔적은 프리패치에 있고 프리패치는 트리에 버젓이 있어서 좋았다. 목록에서 'VBOXTESTER.EXE~.pf'를 찾았다. 일단 Desktop에서 추출을 해봤다..일단 실행 시키니 파일이 막;; 악.. Wargame/N0Named Wargame 2021.05.19
[N0Named Forensic] [C] 어제 뭐 했어? 문제로 주어진 yesterday.pcap 파일이다. 먼저 Conversation을 살펴보자. 운 좋게 첫 번째로 클릭한 패킷이 수상해 보인다.. PK와 함께 flag.txt가 보인다. Raw로 추출해서 'PK' 전까지 다 지워보자. 그러면 flag.txt와 haru.jpg가 보인다. 그런데 암호가 걸려있다. 암호를 찾기 위해 이곳 저곳 둘러보다가 http object list에서 zip, php를 발견했다. 이렇게 찾을 걸.. music.zip은 아까 찾은 파일이고 그에 암호가 걸려 있었으니 , download.php에 암호가 있어줘야 한다. 압축을 해제하니 플래그와 함께 haru.png 라는 이름으로 아래 사진이 들어있었다. 저게 웹툰인지 뭔지 모르겠지만 어제 저걸 보셨나 보다.. Wargame/N0Named Wargame 2021.05.19
[N0Named Forensic] [A] 길에서 주어온 만두 big.png 라는 이름으로 아래 사진이 주어진다. 파일명과 사진으로 봐서 사진에 숨겨진 또 다른 파일을 extract하면 small이 나올 듯 하다. HxD로 까보면 별 건 없고 가장 마지막에 "PASS:1234" 라는 문자열이 있다. png 스테가노그래피 복호화를 지원하는 OpenStego를 통해 extract 시도 똑같아 보이지만 아래는 extract해서 나온 파일이다. 이름은 medium.png 여기서 small.png를 얻기 위해 다른 방법을 쓸 것 같았지만 똑같은 방법으로 2번 반복하면 falg.txt가 나온다. 50점 문제가 더 재밌었다.. Wargame/N0Named Wargame 2021.05.19
[N0Named Forensic] [A] 입사 테스트[1] 문제 파일 fore 1.zip 은 아무 힌트 없이 암호가 걸려있다. 그래서 이 문제처럼 암호화 비트를 없애보았다. SuNiNaTaS 28 (FORENSICS 200pt) down 버튼을 누르면 zip 파일이 다운되는데 아래 3개 파일이 들어있고 암호가 걸려있다. 일단 zip 파일 구조를 살펴보자. 다음은 So_Simple.zip 파일의 헥스 코드다. 일단 헤더 - 50 4B 03 04, 푸터 - 50 4B 0.. hec-ker.tistory.com game.exe와 flag.txt에만 암호가 걸려있으므로 0x504B0102 를 찾아 암호화 비트 1을 0으로 바꾸었다. 그러고 압축을 해제해봤더니 아래처럼 손상되었다고 뜬다. Winrar로 다시보니 CRC가 훼손되었다고 한다. 그래서 CRC 복구 툴을 쓸까 .. Wargame/N0Named Wargame 2021.05.19
[N0Named Forensic] [C] 누가 진짜일까? 주어진 zip 파일을 풀면 똑같이 생긴 2개의 파일이 나온다. 두 파일을 HxD 기능인 파일 비교를 통해 함 보면 각이 나온다. 'ND...' 로 시작하기 때문에 두 파일의 다른 바이트가 플래그일 것이다. 예상대로 다른 바이트를 따로 모으면 플래그가 나온다! Wargame/N0Named Wargame 2021.05.19
[N0Named Forensic] [C] 조별과제_배드엔딩 ㅎㅎ.. 오 되게 신박하다 마지막 슬라이드에 뭔가 숨겨져 있는 것 같다. 대충 PPT를 ZIP으로 만들고 압축 풀고 나면 그 파일에 플래그가 있다는 뜻.. ppt > media 폴더에 이상한게 있네 Wargame/N0Named Wargame 2021.05.18
[N0Named Forensic] [A] 회사 찾기 주어진 zip 파일은 에러가 뜨면서 압축이 안풀린다. 음..다시보니 PK가 아니라 PP다.. PK로 바꿨더니 잘 풀린다. 압축 풀고 나온 파일이 FINDAJOB.txt 파일이다... 엄청나다;; 불순물들이 많아서 중괄호랑 대문자만 나오도록 했다! Wargame/N0Named Wargame 2021.05.18
