일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 24시간의 전사
- vinetto
- 네트워크 보안
- 네트워크관리사2급
- blkls
- ftz
- 2022시작
- 포렌식
- Window process
- 슬퍼유
- Multimeida
- 정보처리기사 필기 합격
- slack space
- ZIP 파일구조
- pythonchallenge
- network
- 는 하지마...
- 디지털포렌식 with CTF
- 디지털포렌식
- 실기
- 윈도우 프로세스 종류
- 생활코딩
- 윈도우 프로세스
- disk
- memory
- Multimedia
- 생활코딩 html
- html
- CTF-D
- N0Named
- Today
- Total
목록challenge/forensic (78)
ssoL2 TISTORY
문제 : DOS 모드에서는 실행할 수 없는 것은 뭐냐?!? JPG를 열어보면 HEX 값을 볼 수 없다는 문구가 남겨져 있다. HxD로 살펴보자. JPG 뒤에 이상한 게 숨겨져있당 MZ로 시작하는거 보니 PE 파일인듯~ 따로 빼서 .EXE 확장자 넣고 실행해보니 flag 출력 완료~! 끝 🚫 flag는 🚫 더보기 aw3s0me_flag
문제 : 채팅을 가로챘다 !!! 실제로 패킷 분석하기 전에 제목의 의도를 생각해보았다. woodstock 치니까 스누피 캐릭터의 단짝 친구란다. 스누피..snoopy...snooping..???????? (
문제 : JPG에서 TEXT를 찾아라. JPG 사진이다. 안에 숨겨진 무언가를 찾기 위해 binwalk했고, zip 발견함 나와라 ! 총 3개 나왔고, 일단 zip 확장자 붙여서 압축해제 해보자. 29E0.zip을 열리지 않음.. (사실 당연함) 왜냐면 위에 binwalk에도 설명나와있지만 zip의 footer라고 나와있었기 때문!! 근데 footer뒤에 Delta_Force\m/라는 말이 추가적으로 붙어있음~! 뭔가 수상한 문구쓰! 반면, 292D.zip은 압축해제 가능했고, 뒤에 footer부분이 29E0.zip과 동일함을 확인 그냥 binwalk가 하나의 zip에서 꽁무니만 따로 빼서 또 추출한것임 암튼 압축해제되는 292D.zip을 해제하면 usethis 추출 뭔지 읽어보니 steghide를 다운..
문제 : GIF에서 이미지 파일을 찾아라. 뒤에 flag가 없네유.. GIF니까 사진 추출 좀 하겠읍니닷 ^^! binwalk로 뭐있나 쓱~살펴주고 (GIF, PNG, JPEG, PC Bitmap 확인요, Zlib은 버려요~) foremost하면 bmp가 추출이 안된다;; (
문제 : JPG에서 숨겨진 base64 플래그를 찾아라 뭔가 심오한 블랙홀쓰~(이뿌다) base64를 찾기 위해 strings으로 살펴본다. 마지막에 굉장히 수상해보이는, 누가봐도 base64처럼 보이는 문구가 도출! 찾은 문구를 base64로 해독했더니 이상한 값이 나온다. 뭔가 잘못됐다. 문제에서 flag 자체를 base64로 인코딩한 후 블랙홀로 보냈다고 했으니, BITCTF를 base64로 인코딩하면 어떤 모양인지 확인해보자. 근데, 아까 찾았던 문구랑 약간 비슷하다. BITCTF가 인코딩 되면 Q로 시작되는 것을 확인했으니 찾는 문구에서 맨앞에 'U'를 생략한 후 해독한다. 와 ! flag 도출 완료! sublime으로 찾은 flag의 길이를 쟀더니 24개다. base64는 길이가 4의 배수이기..
문제 : 쪼개졌다 ! splitted.7z를 압축해제 하니 pcap이 나왔고, 바로 wireshark로 분석하기 전에 NetworkMiner로 간단하게 분석해보자. NetworkMiner의 [file] 기능은 패킷에 있는 file 정보를 정리해놓는다. 또한, 추출도 가능하다. (개꿀딱!) 아래 사진에서 flag.zip과 flag[숫자].zip을 보면 패킷 전송하면서 ZIP 파일이 쪼개져서 전송됐음을 유추할 수 있다. 역시나 추출해도 ZIP이 열리지 않는 것을 보면 완전한 zip이 아님을 증명한다. HxD로 보면 flag.zip이 순서대로 쪼개진건 아닌듯 싶다. 왜냐하면, zip 파일은 50 4b 03 04가 헤더 시그니처이고, 50 4b 05 06 ~~~으로 마무리 되는데 뒤죽박죽이다. wireshark..
문제 : JPG 안에있는 TEXT 를 찾아라. 제목이 broken인 것을 보면 뭔가 부서진 느낌 Opps!! 딱바도 QR코드 문제 이 세상 QR코드를 찾아보면 11시, 1시, 7시에 네모박스 있어야함 그래서 1시, 11시에 빈 공간이 네모 박스이겠구나 추측가능 이제 11시 박스를 1시와 11시에 채워넣자 with 그림판 여기서, 핸드폰 카메라로 인식하면 잘 나옴 그러나, QR Code decorder PC 사이트로 하면 안됨 처리하는 과정이 리더기마다 다르다고 함. 내가 사용하는 qr코드 인식 사이트는 흰 바탕에 검은색 QR코드여야하나봐(정식 QR코드) 그래서 그림판으로 색 반전을 시킵니다. onlinebarcoderreader에 넣어보면 content가 잘 나오네유~ onlinebarcoderreade..
오랜만에 쓰는데 ,, 이젠 자세히 풀이 못할 것 같다.. 늙었나봐 .. 😥 문제 : text에서 키를 찾아라 ! very normal한 text파일. 근데 우연히 빈 공간에 마우스 클릭했는데 공백이 있다 !!! whitespace : 컴퓨터에서 콘솔이나 프린터로 찍었을 때 공백을 표현하는 문자들을 의미한다. ex) \t (탭), \n (개행문자), space 등 여담으로 whitespace를 가지고 만든 프로그래밍 언어도 존재.. 포렌식에서 whitespace 스테가노그래피 존재 -> stegsnow로 풀어보자 (-C 옵션이 없으면 안 풀림,, 왜그런지 찾아봤더니 well solved라네 ㅋㅋ 더 잘풀린대) 뭔가 문구가 나왔고, 바로 md5로 돌렸다. md5 online -> coding.tools/kr..
문제 : 어제 뭐했냐 ㅡ3ㅡ yesterday.zip 압축해제하면 pcap 파일 두둥등장 -> wireshark 실행합시다. sooooooooooooo many 하니까 제일 만만한 http부터 살펴봅시다. "http"로 필터링 거니까 오옷 ^^ 제일 눈길이 가는 music.zip 파일 ㅎㅎ 얻어냅시다. [follow]-[tcp stream]으로 살펴봅시다. 대충 보니까 mandushop에서 music.zip을 다운로드 받은 모양이다. PK로 시작하는 data 찾았으니 추출합시다. music.zip를 압축해제 하려했더니 pw필요하데요... 그래서 zip cracker로 bruteforce했더니 안나옴!!!! 다시 wireshark로 살펴보았더니 download 페이지에 있던 문구 발견 -> pw가 쓰여져있..
문제 : 누가 진짜일까? CERBERUS.bmp와 HELLTAKER.bmp 똑같은 사진임 bmp 파일인 것 보니까 헥스값 장난쳐놓은듯 예상 (cmp.txt는 내가 만든 파일,, 결국은 사용안함) [cmp -l] 명령어로 두 파일을 비교했다. [byte위치 첫번째파일값 두번째파일값] 형태로 출력된다. python으로 코딩합시다. 첫번째 파일의 다른점과 두번째 파일의 다른점을 각각 합쳐봄 a = list() b= list() for i in range(23) : tmp = input().split() a.append(chr(int(tmp[1],8))) b.append(chr(int(tmp[2],8))) dash='' a_stirng=dash.join(a) b_string=dash.join(b) print(a..
문제 : 리버스쉘 침해사고 발생, 웹 페이지 소스코드를 유출한 시간은? access.log 파일로 웹 사이트에서 요청했던 기록을 분석한다. 리버스 쉘이므로 "cmd="를 검색해서 필터링한다. 그러면 base64로 인코딩 된 값을 볼 수 있다. base64 decoding하면 아래와 같다. decode site -> www.base64decode.org/ 결론적으로 /var/www/upload/editor/image/를 tar 압축시키고 reverse.php를 동작시켜 웹페이지 소스코드를 유출했음을 알 수 있다. 따라서 유출 시간은 마지막 php 명령어이므로 2012-08-25_17:26:40이다. 🚫 flag는 🚫 더보기 2012-08-25_17:26:40
문제 : 오른쪽 위의 표지판을 읽을 수 있도록 이미지를 선명하게 하라 F100.png를 다운받으면 굉장히 흐릿하게 블러처리 되어있다. -> 바로 SmartDeblur로 개안합시다. [SmartDeblur] 프로그램에서 [Defect type]은 out of focus Blur로, Smoothness는 제일 작게한 후 Radius를 조절하면서 선명해질 때까지 맞춘다. 최종적으로 표지판이 보이게 된다. 끝! 🚫 flag는 🚫 더보기 Coxsackie