Wargame
PROB.27 XCZ Company Hacking Incident
다운받은 7z 파일을 열어봅시다. XCZ라는 폴더가 하나 주어집니다. 그 안에는 꽤 많은 하위 폴더, 파일들이 있는데 아래 사진에 보이는 경로대로 들어가면 'Outlook Express'라는 이름의 폴더를 발견할 수 있습니다. 많고 많은 폴더 중에 'Outlook Express'를 선택한 이유는, 문제에서 얻은 키워드 때문입니다. "외부로 유출하는"에 가장 적합한 프로그램이 이메일이라고 생각했습니다. Outlook Express 폴더에는 아래와 같은 .dbx 파일이 4개 있습니다. 아래 링크를 통해 dbx viewer를 설치할 수 있습니다. 첫 번째 링크는 유료, 다음은 무료입니다. 저도 무료 툴을 이용하였습니다. DBX viewer for corrupted Outlook Express folders H..
XCZ.kr PROB.24 Memoryyyyy Dumpppppp
파일을 다운받아 볼라틸리티로 분석해보겠습니다. 먼저, 아래처럼 imageinfo를 살펴보겠습니다. 플래그 형식을 보면, 프로세스 이름을 써야합니다. 프로세스 리스트를 일차적으로 살펴보겠습니다. Mmm.exe라는 수상한 이름의 실행 파일이 보입니다. 하지만 이 정보로만은 플래그를 작성할 수 없기 때문에 네트워크 정보를 더 살펴보겠습니다. 딱 한 개의 프로세스만 추출되었습니다. 포트 번호는 80, PID는 1124라고 하네요. 이전에 실행했던 pslist의 추출 결과에서, PID가 1124인 것을 보면, nc.exe 입니다. 그리고 2012년 11월 2일은 금요일이네요!
GrrCON 2015 #2
아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로 작성된 파일 일시 중단 된 상태 일 때 가상 시스템 (VM)의 상태를 저장한다. 즉, 일시적으로 중지 된 것. VM이 일시 중단 될 때 소프트웨어에 �� hec-ker.tistory.com 먼저 imageinfo를 살펴봤습니다. 그 후 pslist를 뽑아 '이메일' 키워드와 관련된 "OUTLOOK.EXE"의 PID를 확인하고, memdump를 사용해 덤프를 떴습니다. 그 dmp 파일의 문자열을 추출해 3196.txt로 뽑아내고 플래그 형식인 '.exe'로 검색하니, 특정한 실행 파일 한개를 발견했습니다.
InCTF 2020 Forensics_Investigation
Forensics_Investigation The problem seems to be long, but we just should get Adam's last time using the Windows calculator and the number of times he used Google Chrome. The given file as a problem, is "Investment.7z". You can get the "Windows.vmem" file when you extract it. The 'vmem' file is a backup file of VM Ware's paging files that is volatile and can only be viewed during or paused virtua..
SuNiNaTaS 19 (FORENSICS 154pt)
구글링해서 나오는 컨버터 사이트 중에는 이게 제일 나은 것 같아요 Convert text to binary - Converters About Convert text to binary tool Convert text into binary. Computers store all characters as numbers stored as binary data. Binary code uses the digits of 0 and 1 (binary numbers) to represent computer instructions or text. Each instruction or symbol gets www.unit-conversion.info binary -> text 그렇게 나온 문자열이 아래와 같습니다 NVCTFDV..
SuNiNaTaS 15 (FORENSICS 255pt)
mp3 파일이 하나 주어집니다. 나비의 다이어리! mp3 파일의 시그니처는 '49 44 33(ID3)' mp3 파일 받자마자 Audacity로 파형, 스펙트럼 부터 찾아봤습니다. 0, 1을 아스키로 변환하거나, 베이컨 암호거나, 모스 부호거나... 생각했는데 정말 아무 것도 안나왔슴다 그래서 그 스펙트럼을 캡쳐해서 아래 사이트가서 삽질을 시작했슴다 Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch ..
ctf-d 저희는 디스크 이미지를 찾았습니다. (100)
FTK, Autopsy로 열어봤지만 깨졌습니다 그래서 HxD로 까봤어요 쭉 내리다보니 JFIF 라는 문자열을 발견할 수 있었고 잘 보니 JFIF 헤더 시그니처가 보이네여 그래서 처음 ~ 001403FF 까지 삭제해봤습니다 그랬더니 바로 플래그가 나왔 그런데 'FF D8 FF E0 00 10 4A 46(헤더)', 'FF D9(푸터)'가 아직 꽤 많았어요 근데 다 훼이크였고 라이언 구슬링 사진잌ㅋㅋㅋ 암튼..
splitted (100)
본격적으로 파일을 분석하기 전에 HxD로 까봤다. 혹시 몰라 'flag'라고 검색해보니 아래와 같이 'flag.zip'라는 파일명이 다수 보였다. 통신에 쓰일 각이다. 와샥으로 pcap 파일을 열어봤다. 간간히 flag.zip라는 파일명이 보였고, 얼마 후엔 'Partial Content'를 발견할 수 있었다. 요청한 flag.zip을 나눠서 보내는 그 조각이 Parial Content일 것이다. 더 좋은 방법이 있겠지만, Length 값 내림차순으로 정렬하니 Partial Content를 전송하는 패킷만 모을 수 있었다. 그 중 아무 패킷이나 까봤더니 'flag.psd'라는 파일명도 볼 수 있었다. psd 파일이 포토샵 파일로 알고 있는데, 아마 저 데이터들을 모아 포토샵으로 열면 플래그가 있을 것 같..
basics (100)
여기에 들어가서 https://29a.ch/photo-forensics/#pca Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 이렇게 조정했더니 이런 플래그를 발견했다
이 파일에서 플래그를 찾아라! (100)
sunrise.zip 안에 sunrise.png가 있었음 헤더 푸터도 잘 있음 이건 저번에 만든 png 파일 구조 중 일부.. 세로 크기를 이렇게 수정해보면 이렇게 밑에 플래그가 보인다.
내 친구는 이것이 특별한..., 계속 주시해라! (100)
img.jpg 입니다 HxD에 까봤습니다 바로 플래그가 보였어여 아래 사진이 Proxy.jpg HxD로 까봤더니 역시 푸터 부분에 플래그가 있었다.