Wargame

    [ctf-d Network] DefCoN#21 #2
    Wargame/ctf-d.com

    [ctf-d Network] DefCoN#21 #2

    Betty와 Gregory가 만나기로 한 도시를 찾는 문제다. 문제 패킷을 Network Miner에 넣어보자. 이 곳에서 총 3개의 메시지를 확인할 수 있다. (1) 만나기로 한 수요일에 Betty가 노쇼했나 보다. 그리고 친구 없이 단 둘이서만 만나자고 하며 '그 곳'에 대한 비밀번호를 보낸다. - PW: S3cr3tVV34p0n - Betty's mail: betty_swindoll@aol.com - Greg's mail: d34thm3rch4nt@aol.com (2) 별 내용없다. 그냥 Greg도 가겠다고 한다. (3) 마지막 메시지를 푸는 것이 문제의 해답이 될 것이다. 'PRIVMSG'라는 명령어와 파라미터로 보아 [PRIVMSG D34thM3rch4nt DCC SEND r3nd3zv0us ..

    [ctf-d Network] 조용할수록 더 귀를...
    Wargame/ctf-d.com

    [ctf-d Network] 조용할수록 더 귀를...

    주어진 문제 파일은 gzip. 압축을 풀면 PrivateChannel.pcap.pcapng라는 독특한 확장자를 가진 와샥 캡처 파일이 나온다. 처음 파일을 열면, 흰색 컬러링 패킷이 특징적으로 많이 보인다. 컬러링 룰을 보면, 이더넷을 통해 브로드캐스팅 된 패킷이 흰색임을 알 수 있다. 일단 Conversations > TCP 패킷을 보니 CDAISIWillWin 이라는 문자열이 들어있었다. 당연히 훼이크! 이거 말고는 별다른게 없어서 tshark로 넘어갔다. 맨 먼저 의심스러워 보이는 흰색 패킷.. 진짜 뭐가 없다 개속았다. 그 다음으로는 ICMP 패킷이 많았다. 재밌는게 unreachable이 몇개 있고 id 존재하는게 5개 있고 나머지는 다 id == 0이었다. 처음엔 저 id값을 조합하나 했지만 ..

    [ctf-d DISK] 2012_CodeGate_F200 (서울에 사는 IU가 특정 웹 …)
    Wargame/ctf-d.com

    [ctf-d DISK] 2012_CodeGate_F200 (서울에 사는 IU가 특정 웹 …)

    1_UNI/**/ON_SELECT|2012-02-1210:23:17

    [ctf-d DISK] 2012_CodeGate_F300 (IU는 악성코드에 의해 감염된…)
    Wargame/ctf-d.com

    [ctf-d DISK] 2012_CodeGate_F300 (IU는 악성코드에 의해 감염된…)

    HxD에 이미지 파일을 넣어보면, '7Z'라는 시그니처가 보인다. 파일 확장자를 '7z'으로 바꾼 후 압축을 풀어보자. 'Users'라는 이름의 폴더가 주어진다. FTK Imager에서 Contents of a Folder를 선택하여 분석을 시작해보자. 폴더 내 주어진 파일은 단 한 개다. 'proneer > AppData > Local > Google > Chrome > User Data > Default' 경로에 'Cookies'라는 파일이 있다. 해당 파일을 추출해 HxD에 넣어보면, 'SQLite format'이라는 시그니처가 보인다. 계속 내려보면 'docbe.com', 'nate.com', 'doubleclick.net' 등의 URL이 보인다. 'forensic-proof.com'이라는 pro..

    [ctf-d DISK] 2012_Defcon20_F100-find_key (Find Key(slack))
    Wargame/ctf-d.com

    [ctf-d DISK] 2012_Defcon20_F100-find_key (Find Key(slack))

    문제 파일 이름은 find_key지만 사이트에서 Find Key(slack)이라고 해버려서 스포된 문제.. 먼제 gz을 풀고 FTK에 넣으면, 또 gz을 풀어야 한다 그럼 root 밑에 엄청 많은 패키지들이 보인다.. 이상하게 unallocated space에 파일이 엄청 많았다. 추출해서 문자열을 뽑으려고 했는데 없다. 그래서 슬랙 뽑아주는 Sleuth Kit의 blkls를 이용해보려고 했다. www.sleuthkit.org/sleuthkit/download.php The Sleuth Kit: Download www.sleuthkit.org 그런데 윈도우 환경에서는 공백만 출력되고 아무 것도 안나왔다. 혹시나 해서 우분투에서 해보니까 됐다.. 왜지?

    [ctf-d DISK] 경찰청은 최근 아동 성폭력…
    Wargame/ctf-d.com

    [ctf-d DISK] 경찰청은 최근 아동 성폭력…

    경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모..

    [ctf-d Network] woodstock-1
    Wargame/ctf-d.com

    [ctf-d Network] woodstock-1

    그냥 여기 보임

    [ctf-d Network] Sans Network Forensic [Puzzle 3] #1
    Wargame/ctf-d.com

    [ctf-d Network] Sans Network Forensic [Puzzle 3] #1

    문제에 IP 주소가 언급되어 있으니 와이어샤크 컬럼을 추가하여 간단히 해결할 수 있다. 출발지와 목적지 MAC 주소 -> eth.addr 출발지 MAC 주소 - eth.src 도착지 MAC 주소 - eth.dst

    [ctf-d DISK] X 회사의 재정 정보를 훔치기…
    Wargame/ctf-d.com

    [ctf-d DISK] X 회사의 재정 정보를 훔치기…

    문제의 키워드는 '재정 정보', '컴퓨터를 끄지 않는', 'EXCEL 파일', '14:00시' 정도로 추릴 수 있을 것 같다. 몇 번의 삽질이 있었지만, 먼저 아래 경로에서 최근에 실행한 Office 어플들의 목록을 볼 수 있다. C:\Users\user\Desktop\Users\proneer\AppData\Roaming\Microsoft\Office\Recent 이 곳에서 '[Top-Secret]_2011_Financial_deals'라는 수상한 엑셀 파일을 발견했다. 이에 대한 자세한 정보를 얻기 위해 UFTLnkParser를 사용해 해당 경로의 lnk 파일 정보를 출력했다. 그 곳에서 전체 경로와 파일 사이즈를 찾았다. full_path = C:\INSIGHT\Accounting\Confidenti..

    [ctf-d Network] DefCon #21 #1
    Wargame/ctf-d.com

    [ctf-d Network] DefCon #21 #1

    Conversation 탭에서 172.29.1.50 46.165.193.136 간 대화를 보면 "Hi Greg :)", "Hi Betty"를 통해 문제에 언급된 Betty를 발견할 수 있다. 그리고 Jensen의 풀네임이 Greg Jensen이 아닐까.. 하는 의심! 거기서 Greg이 "what day do you want to meet up?"이라고 회의의 '날짜'를 묻는 것이 보인다. #s3cr3tsp0t라는 키워드가 보이며 URL 인코딩된 값도 보인다. 디코딩해보면 How does Wednesday sound? -> How does Wednesday sound? Great :) what time? -> Great :) what time? ah 2pm -> ah 2pm Ok, I can't ..

    SecureBug CTF(TYR Nordic New Year CTF)_Forensics
    Wargame/CTF

    SecureBug CTF(TYR Nordic New Year CTF)_Forensics

    Misplaced_Forenscis_50pts Don't know file type after just seeing hex values. Using binwalk, figured out that this file's type is 'zip' and its pw. Then it gave us 'Article1.jpg' Though can't open now. By seeing hex values, you can know this is 'Word file' not a ZIP There's a flag. flag: SBCTF{n1c3_c4rv1n6_w3ll_d0n3} Nice Duck!_Forenscis_100pts Wireshark - Export - HTTP object list In movie.mp4, ..

    hackerschool FTZ level6
    Wargame/FTZ

    hackerschool FTZ level6

    다른 레벨과 다르게 로그인 하자마자 힌트가 보인다. 일단 인포샵도.. bbs도.. 뭔지 모르기 때문에 검색해보자. 인포샵은 정보 공유 커뮤니티인 것 같고.. BBS는 전자 게시판을 뜻하는 것 같다. 인포샵에 대한 첫 검색 결과가 2013년인 걸 보니 내가 모를 만 하다. 어쨌든 인포샵의 bbs는 커뮤니티 게시판을 뜻하는 듯 하다. 이 '인포샵 bbs'의 텔넷 접속 메뉴에서 많이 사용되든 해킹 기법이 뭘까.. hint에서 엔터(또는 아무거나)를 누르면 아래처럼 텔넷 접속 서비스가 뜬다. 그리고 보이는 조상님들.. 1, 2, 3 모두 눌러보았는데 'Trying~'만 나타날 뿐 아무 일도 일어나지 않았다. 여기서 더 기다려봤는데 자동으로 putty가 종료됐다. 문제는 putty에 다시 접속해서, 힌트가 나오는..

티스토리툴바