Wargame

    FwordCTF 2020 - Memory 2 (Forensics)
    Wargame/CTF

    FwordCTF 2020 - Memory 2 (Forensics)

    The analysis will be conducted on the given 'foren.raw' file in the previous step. We already know OS information (imageinfo), so let's check the list of processes through 'pslist'. .\volatility_2.6_win64_standalone.exe -f foren.raw --profile=Win7SP1x64 pslist The problem texts "had a secret association" and "on Internet" give us a hint to analyze "chrome." We will run 'yarascan' through the PID..

    FwordCTF 2020 - Memory (Forensics)
    Wargame/CTF

    FwordCTF 2020 - Memory (Forensics)

    We have to find the three below. 1) computername 2) user 3) password To obtain OS info, ran plugin 'imageinfo' .\volatility_2.6_win64_standalone.exe -f .\foren.raw imageinfo First, let's print out a list of processes through the pslist plug-in. .\volatility_2.6_win64_standalone.exe -f .\foren.raw --profile=Win7SP1x64 pslist I found a suspicious 'DumpIt.exe' on the full list. The PID for 'DumpIt...

    ctf-d GrrCON 2015 #3
    Wargame/ctf-d.com

    ctf-d GrrCON 2015 #3

    이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시.. hec-ker.tistory.com 지난 번 #2까지 풀었던 내용으로는 다음과 같습니다. 1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가? th3wh1t3r0s3@gmail.com 2) 공격자가 프런트..

    ctf-d Find Key(Image)
    Wargame/ctf-d.com

    ctf-d Find Key(Image)

    head.png는 요래 생겼습니다. 지금은 잘 안보이는데 얘를 저장하고 보면 이렇게 배경이 잘 보입니다. 이 배경이 반복되죠? 6행 8열로 보면, (white - 0 black -1) 01010011 - 00110100 - 01001110 - 01000011 - 01001000 - 00110000 이렇게 나타낼 수 있져 MD5(S4NCH0) = 975186cff0a2bfd07862175d40fa36ff

    SuNiNaTaS 30 (FORENSICS 366pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 30 (FORENSICS 366pt)

    볼라틸리티에 넣어보자. .\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' imageinfo 먼저 김장군 PC의 IP 주소를 알아야 하니까 netscan 이용했다. .\volatility_2.6_win64_standalone.exe -f '.\MemoryDump(SuNiNaTaS)' --profile=Win7SP0x86 netscan 그랬더니 반복적으로 나오는 한 개의 Local Address가 있었다. 1. 김장군 PC의 IP 주소는? 192.168.197.138 다음으로 열람한 기밀 문서를 찾아야 한다. 실행한 명령어 이력을 보기 위해 cmdscan을 사용했다. .\volatility_2.6_win64_standalone.exe -f..

    SuNiNaTaS 29 (FORENSICS 266pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 29 (FORENSICS 266pt)

    3.4 기가짜리 윈7 파일을 받았다. 먼저 HxD로 까봤더니, EGG 파일이라고 한다. 그래서 이렇게 확장자를 바꿔보고 압축을 풀어봤다. 뭔가 반가운 마음에(?) vmx를 열어봤는데, 부팅되자마자 아래 창이 뜨더니 30초 단위로 무한 재부팅되길래 -a 옵션으로 취소를 일단 시켰다. 동시에 FTK Imager를 통해 vmdk도 열어봤다. 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 일단 지문대로 네이버에 들어가봤다. 진짜 워닝이 뜬다. 이거는 DNS 매핑 문제 때문일 것이다. hosts 파일에서도 관리할 수 있다고 본 것 같다.. 아래 경로로 들어가서 hosts를 찾았다. 가상머신 윈도우에서는 숨김 파일 보기 처리해주면 되는데 귀찮..

    SuNiNaTaS 26 (FORENSIC 200pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 26 (FORENSIC 200pt)

    빈도 분석을 통해 이 암호문을 해석하라고 합니다. 공백과 점은 생략되어 있다고 하네요. 먼저, 빈도 분석을 하기 위해 간단한 파이썬 코드를 작성하였습니다. from collections import Counter value = "SZQKAGCZVCVYABPSYINCGOZDAINVSCBNIVPNZVBPNYFKQHZMMPCQHZYGZGFCXZNVVZGDFNVBPNJYIFXMPCQHZYGBPNOYAIMYGBZGNGBVMPCQHZYGCBPINNBZQNDICGXHIZTOZGCFMPCQHZYGBPNJYIFXEAGZYIMPCQHZYGBPNEAGZYIDICGXHIZTOZGCFMPCQHZYGCGXCOYAIBZQNVYABPSYINCGGCBZYGCFMPCQHZYGSZQZVBPNOZIVBVYABPSYINCGOZDAINVSCB..

    SuNiNaTaS 21 (FORENSIC 221pt)
    Wargame/SuNiNaTaS

    SuNiNaTaS 21 (FORENSIC 221pt)

    간단한 카빙 문제입니다. monitor.jpg를 HxD에 까보겠습니다. JPEG 파일의 푸터인 'FF D9'를 검색해보면 여러 개가 나옵니다. 헤더를 검색해도 좋습니다. 어떻게든 카빙을 해보면 아래와 같은 사진을 얻을 수 있습니다. 문제 사진에 가려져 있던 키의 앞 쪽 부분이 보입니다.

    오른쪽 위의 표지판을 읽을 수...
    Wargame/ctf-d.com

    오른쪽 위의 표지판을 읽을 수...

    F100.png 파일을 다운받으면 이렇게 눈이 안좋아집니다. 딱 봐도 툴을 써야하는데 저는 무슨 툴을 써야하는지 몰랐기 때문에 사진을 선명하게 만들어주는 게 뭐가 있을지 구글링을 해봤고, 아래와 같은 사이트를 발견했습니다. SmartDeblur - Download smartdeblur.net 다운을 받고, Detect type: Out of Focus Blur Radus: 21.1 로 설정하니 보이네요.

    ctf-d 원래 의미가 없는 것들도…
    Wargame/ctf-d.com

    ctf-d 원래 의미가 없는 것들도…

    spam.txt는 아래와 같습니다. 마음대로 개행되어있고, 중간 중간 대문자로만 쓰인 단어도 보입니다. 처음에는 대문자로만 쓰인 단어를 따로 추출해서, 아스키로도 뽑아봤는데, 의미 없었습니다. 아래 사이트를 발견했기 때문이죠..ㅎ spammimic - hide a message in spam www.spammimic.com 아래는 이 사이트의 설명 탭인데, 자랑스럽게 설명해줍니다. 내 메시지는 안전하고 그 누구도 암호화되었는지 '알 수 없다' 저도 이게 암호문인지 몰랐으니까 괜찮은 암호화인 것 일지도... 너무 쉽게 풀리긴 하지만요 이런 식으로 디코딩하면 바로 플래그가 보입니다. 큰 의미는 없었지만 문제 만들 때, 최후의 플래그를 보여주기 직전에 이런 식으로 꼬아도 재밌을 것 같긴 합니다.

    InCTF 2020 Forensics_Investigation Continues
    Wargame/CTF

    InCTF 2020 Forensics_Investigation Continues

    You need to find out these three questions. The last time Adam entered an incorrect password to login The time when the file '1.jpg' opened The last time Adam used taskbar to launch Chrome First, you need to see image information about this vmem file. 1. Goal: The last time Adam entered an incorrect password to login .\volatility_2.6_win64_standalone.exe -f .\windows.vmem --profile=Win7SP1x64 hi..

    InCTF 2020 Forensics_LOGarithm
    Wargame/CTF

    InCTF 2020 Forensics_LOGarithm

    Let's solve the second forensics question. Two pcap and vmem files were given below. First, you need image information about the vmem file. .\volatility_2.6_win64_standalone.exe -f .\Evidence.vmem imageinfo I ran 'cmdscan' because I thought I could find a hint from the command entered in cmd, but I couldn't get any other hints. .\volatility_2.6_win64_standalone.exe -f .\Evidence.vmem --profile=W..

티스토리툴바