~~마띠의블로그~~

그냥 여기 보임

문제에 IP 주소가 언급되어 있으니 와이어샤크 컬럼을 추가하여 간단히 해결할 수 있다. 출발지와 목적지 MAC 주소 -> eth.addr 출발지 MAC 주소 - eth.src 도착지 MAC 주소 - eth.dst

문제의 키워드는 '재정 정보', '컴퓨터를 끄지 않는', 'EXCEL 파일', '14:00시' 정도로 추릴 수 있을 것 같다. 몇 번의 삽질이 있었지만, 먼저 아래 경로에서 최근에 실행한 Office 어플들의 목록을 볼 수 있다. C:\Users\user\Desktop\Users\proneer\AppData\Roaming\Microsoft\Office\Recent 이 곳에서 '[Top-Secret]_2011_Financial_deals'라는 수상한 엑셀 파일을 발견했다. 이에 대한 자세한 정보를 얻기 위해 UFTLnkParser를 사용해 해당 경로의 lnk 파일 정보를 출력했다. 그 곳에서 전체 경로와 파일 사이즈를 찾았다. full_path = C:\INSIGHT\Accounting\Confidenti..

Conversation 탭에서 172.29.1.50 46.165.193.136 간 대화를 보면 "Hi Greg :)", "Hi Betty"를 통해 문제에 언급된 Betty를 발견할 수 있다. 그리고 Jensen의 풀네임이 Greg Jensen이 아닐까.. 하는 의심! 거기서 Greg이 "what day do you want to meet up?"이라고 회의의 '날짜'를 묻는 것이 보인다. #s3cr3tsp0t라는 키워드가 보이며 URL 인코딩된 값도 보인다. 디코딩해보면 How does Wednesday sound? -> How does Wednesday sound? Great :) what time? -> Great :) what time? ah 2pm -> ah 2pm Ok, I can't ..

Misplaced_Forenscis_50pts Don't know file type after just seeing hex values. Using binwalk, figured out that this file's type is 'zip' and its pw. Then it gave us 'Article1.jpg' Though can't open now. By seeing hex values, you can know this is 'Word file' not a ZIP There's a flag. flag: SBCTF{n1c3_c4rv1n6_w3ll_d0n3} Nice Duck!_Forenscis_100pts Wireshark - Export - HTTP object list In movie.mp4, ..

다른 레벨과 다르게 로그인 하자마자 힌트가 보인다. 일단 인포샵도.. bbs도.. 뭔지 모르기 때문에 검색해보자. 인포샵은 정보 공유 커뮤니티인 것 같고.. BBS는 전자 게시판을 뜻하는 것 같다. 인포샵에 대한 첫 검색 결과가 2013년인 걸 보니 내가 모를 만 하다. 어쨌든 인포샵의 bbs는 커뮤니티 게시판을 뜻하는 듯 하다. 이 '인포샵 bbs'의 텔넷 접속 메뉴에서 많이 사용되든 해킹 기법이 뭘까.. hint에서 엔터(또는 아무거나)를 누르면 아래처럼 텔넷 접속 서비스가 뜬다. 그리고 보이는 조상님들.. 1, 2, 3 모두 눌러보았는데 'Trying~'만 나타날 뿐 아무 일도 일어나지 않았다. 여기서 더 기다려봤는데 자동으로 putty가 종료됐다. 문제는 putty에 다시 접속해서, 힌트가 나오는..

hint 내용을 보자. 문제에 언급된 \usr\bin으로 이동해 level5 프로그램을 살펴보자. 이 곳에서 ls -al 명령어를 통해 본 결과, level5라는 프로그램은 level6의 권한으로 SetUID가 걸려있었다. 또한 실행해도 아무 일이 일어나지 않았다. hint 파일에서 /tmp 디렉터리에 level5.tmp 라는 임시 파일을 생성한다고 했으니 /tmp 디렉터리로 이동해본다. 하지만 /tmp 디렉터리에도 level5.tmp 파일은 보이지 않는다. 따라서 내가 보기 전, 혹은 생성되자마자 삭제된 것으로 보인다. 이 문제를 풀기 위해서는 아래 개념이 필요하다. Symbolic Link: 특정 파일이나 디렉터리에 대해 참조하는 파일. 윈도우의 '바로가기'와 비슷한 기능으로, 심볼릭링크로 지정된 파..

FTZ level4 입니다. cat hint: /etc/xinetd.d/에 백도어가 있다고 합니다. xinetd는 리눅스의 수퍼 데몬으로, 메모리에 상주하여 데몬 프로그램을 돌리는 standalone 방식보다 속도는 조금 느려도 자원 관리 면에서 더 효율적인 방식입니다. [리눅스] 슈퍼데몬 xinetd 정리 데몬에는 2가지 종류가 있다. 슈퍼데몬 방식(xinetd 방식), standalone 방식이 있다. standalone방식은 말 그대로 단독으로 메모리에 상주하고 있는 방식이다. 자주 사용되는 데몬이라면 문제가 없지만 �� raisonde.tistory.com cd /etc: 우선 /etc 디렉터리에 이동했습니다. cd xinetd.d ls: backdoor 파일이 보입니다. cat backdoor:..

FTZ level3입니다. 먼저 ls를 통해 hint를 발견했어요. 내용을 봅시다. autodig의 소스를 안내해주고 있네요. 코드를 간단히 살펴봅시다. int main(int argc, char **argv){} main 함수에서는 인자 2개를 받습니다. 아래 모두 main 함수에 포함되는 것들입니다. char cmd[100]; cmd 라는 이름의 배열을 선언하고 if(argc!=2){ printf("Auto Digger Version 0.9\n"); printf("Usage : %s host\n", argv[0]); exit(0); } 만약 인자 값이 2개가 아니면, Auto Digger Version 0.9 Usage : [첫번째 인자, 'autodig'가 될 것] host 를 출력합니다. strc..

바로 level2입니다. 역시 ls -al을 실행해 파일 목록을 확인합니다. cat hint로 문제를 봅시다. '텍스트 파일 편집 중'이라고 하는 것을 보니 vi가 쓰일 것 같습니다. 우선 level3라는 user을 가진 파일이 있는지 찾아보도록 합시다. /usr/bin/editor 가 검색되네요. find / -user level3 2> /dev/null /usr/bin 디렉터리에서 ls를 실행하면 빨간색의 editor 파일이 보입니다. editor를 실행해봅시다. 그러면 아래와 같은 편집기가 실행돼요. 그리고 vi 명령 모드에서, 쉘 명령어를 입력할 수 있다고 합니다. :sh - 쉘로 잠시 나가기 ![command] - 쉘 명령을 한줄만 하는경우 r![command] - 쉘 명령 결과를 편집내용에 추..