일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- vinetto
- 네트워크관리사2급
- Window process
- 24시간의 전사
- network
- Multimeida
- memory
- html
- 포렌식
- 실기
- blkls
- 디지털포렌식 with CTF
- 디지털포렌식
- 2022시작
- N0Named
- 슬퍼유
- 는 하지마...
- ftz
- 생활코딩 html
- 네트워크 보안
- slack space
- Multimedia
- ZIP 파일구조
- pythonchallenge
- disk
- CTF-D
- 생활코딩
- 윈도우 프로세스 종류
- 윈도우 프로세스
- 정보처리기사 필기 합격
- Today
- Total
목록challenge/forensic (78)
ssoL2 TISTORY
Multimedia 문제 : 그림에 flag가 있다. 찾아라 PurpleThing.png에는 이름 그대로 보라색의 무언가가 존재한다. 그런데, 해당 파일은 PNG 치고 2,300 KB = 2.3 MB 만큼의 큰 용량을 지니고 있다. 이 점에서 파일 안에 뭔가 숨겨져 있음을 알 수 있다. [binwalk]로 숨겨져 있는 파일을 확인해보니 JPEG 파일이 존재한다. [foremost] 명령어로 숨겨진 파일을 추출한다. 추출된 JPG에는 FLAG가 담겨져 있다. 끝 ! 🚫 flag는 🚫 더보기 ABCTF{PNG_S0_COO1}
Multimedia 문제 : 이 파일에서 FLAG를 찾으시오. jpg가 열리지 않아 파일 타입을 확인했더니 "PDP-11 UNIX/RP ldp"라고 나왔다. "PDP-11"은 디지털 이큅먼트 코퍼레이션(DEC)가 1970년부터 1990년대 까지 판매하였던 16 bit 미니컴퓨터 시리즈이다. HxD로 분석해보니 "FF DB"로 시작하는 DQT나 "FF C4"로 시작하는 DHT 등 JPG 파일 구조에 해당하는 마커들이 존재한다. 그러나 헤더 시그니처가 "FF D8"이 아닌 01 01으로 정체모를 헥스값이 존재한다. 따라서 JPG 헤더 시그니처인 "FF D8"을 추가한다. 이제 정상적으로 JPG 사진이 보인다. 사진 안에는 FLAG 값도 담겨있다. 끝 ! 🚫 flag는 🚫 더보기 abctf{tfw_kage_r..
Multimedia 문제 : 튤립 사진에서 flag를 찾자 ! (힌트, 낮에는 튤립이 지켜주니 밤에 찾자? + 선명한 시야 필요하다) tulip.png를 열어보니 튤립 사진이 나온다. 힌트를 바탕으로 [StegoOnline]으로 살펴보자. StegoOnline 사이트 -> stegonline.georgeom.net/upload [LSB Half] 기능으로 튤립 상단 왼쪽에 숨겨진 flag를 찾을 수 있다. 또한, [Forensically 온라인]으로 히스토그램 평준화 기능으로 flag를 찾을 수도 있다. Forencically 온라인 -> 29a.ch/photo-forensics/#forensic-magnifier 끝 ! 🚫 flag는 🚫 더보기 easyctf{all_hail_michy}
Multimedia 문제 : Wota Forensic_2.zip을 문제 지문에서 주어진 Password로 압축해제하면 cewe.jpg와 ke0n9.zip이 추출된다. ke0n9.zip은 암호가 걸려있으므로 cewe.jpg를 분석해야한다. [exiftool]로 jpg의 metadata를 확인 할 수 있다. 사진 하단에 Hex값이 존재했다. HxD로 옮겨 적으니 ASCII 값으로 Base64로 추정되는 문구가 발견된다. base64 decoder로 [Vm14U1NtVkZNVWRYYkZwUFZsWmFhRlJVUmt0V1ZuQllaRWRHVGxac1NubFdiWEJQVlZaV1ZVMUVhejA9]을 돌려보았다. 결과값 또한 '='이 마지막에 있는 것을 보아 base64 인코딩으로 보인다. 한번 더 base64 ..
Multimedia 문제 : 답을 찾기 위해 돋보기를 써라! (Flag는 TEXT 형식이다.) HTML 파일을 브라우저로 열어보면 QR코드가 나온다. QR코드 Decoder 사이트로 qr코드 캡쳐한 이미지를 업로드하면 TEXT를 출력한다. QR코드 Decode -> blog.qr4.nl/Online-QR-Code-Decoder.aspx 출력된 TEXT가 flag임을 알 수 있다. 끝 ! 🚫 flag는 🚫 더보기 8febb919bc0fc08e3e1108b1b6bfef37
문제 : flag를 찾아라. (참고로 TEXT 형식의 FLAG) gangbang.avi를 시청하다보면 중간중간에 프레임 오버되는 현상이 나타난다. 동영상 중간에 flag를 숨겨놓은 모양이다. 동영상은 사진을 연속적으로 보여주는 것이므로 '프레임 단위'로 뽑아보자. [Forevid] 프로그램으로 프레임 단위로 export한다. 그러면 많은 사진 사이에 flag로 추정되는 사진이 발견된다. 넣어보니 정답이다. 끝 ! 🚫 flag는 🚫 더보기 26ab0db90d72e28ad0ba1e22ee510510
문제 : 이빨만큼 하얗다. image_c6a5567687720ec40a18f6860f32c8c730f2a223.png을 다운받는다. 아무것도 안보이는 새하얀 그림이다. 딱 봐도 스테가노그래피 문제이다. stegsolve로 살펴보자 (참고로 밑에 그림 캡쳐해놓은 상태..) Gray bits에서 flag를 발견할 수 있다. 끝 ! 🚫 flag는 🚫 더보기 true_steganographers_doesnt_need_any_tools
문제 : 이미지에 플래그가 있다. (힌트는 플래그는 eXist 하다.) logo.jpg의 모습이다. logo.jpg의 메타데이터에 flag가 숨겨져있었다. 문제 힌트가 exif(이미지, 비디오, 파일등의 메타데이터)를 뜻하는 말인가보다. 끝 ! 🚫 flag는 🚫 더보기 now_youre_thinking_with_exif
문제 : 문서 속에 flag가 존재한다. 찾으시오! (힌트 docx 파일이 정확히 무엇인가?) file.docx는 Microsoft word 2007+ 파일이다. docx 파일은 여러 파일을 압축한 형태구조이다. 따라서 ZIP 파일로 변경 후 확인하자. (file.docx -> file.zip) file.zip을 압축해제 하니 flag.txt를 발견할 수 있고, 내용을 읽으면 flag를 얻을 수 있다. 끝 ! 🚫 flag는 🚫 더보기 this_would_be_the_flag_you_are_looking_for
문제 : 파일에 내 친구와 그녀의 약혼자 비밀 사진이 들어있다. 확인해주세요! (힌트로 무언가 빠진 것 같다.) secret 파일을 다운받는다. 확장자 표시가 없으니 파일 정보를 확인해야 한다. [file] 명령어로 해당 파일이 ZIP 파일임을 확인했다. 그러면 secret -> secret.zip으로 [이름 바꾸기]한다. secret.zip을 압축해제 하니 secret.png이 추출됐고, 열어보니 파일 형식이 지원되지 않는다는 문구가 뜬다. HxD로 분석해보니 IHDR 청크는 존재하지만, 앞에 있어야 하는 PNG 헤더 시그니처가 완전하지 않다. PNG 헤더 시그니처는 "89 50 4E 47 0D 0A 1A 0A" 이다. 따라서 부족한 부분을 채우고 저장한다. 수정한 secret.png를 열어보면 정상적..
문제 : 1000개의 파일 중에서 JPEG 사진을 찾아라. (힌트로 Grep 명령어를 사용하자) data.zip을 다운받고 압축해제 한다. data 파일 안에는 대략 1000개 가량의 파일이 있다. 확장자가 없기 때문에 가시적으로 찾을 순 없다. JPG에는 JFIF, EXIF, SPIFF 종류가 있다. 대부분의 JPG는 JFIF이므로 [grep] 명령어로 data 디렉토리에 있는 모든 파일을 대상으로 "JFIF" string을 포함하는 파일을 찾는다. 결과물로 jpeg 파일이 출력된다. 또는 [file] 명령어와 [awk]를 조합하여 JPEG가 존재하는지 확인할 수도 있다. [awk]로 [file]의 두번째 필드값(파일유형)을 한정으로 [sort]하고, [uniq -c]로 중복된 내용을 없애고 몇 번 나..
문제 : 플래그를 보며 엄지 손가락을 치켜 올린다! -> 엄지 손가락 ? Thumbnail !! 파일을 열어보면 CSI 드라마에 나오는 호레이쇼가 무언가를 응시하고 있다. 힌트를 이용해서 썸네일을 확인하자. [exiftool]를 이용해서 47487 byte의 Thumbnail이 있음을 확인했다. [exiftool]를 이용해서 thumnail을 추출하자. [-binary] 옵션을 이용해 ThumbnailImage를 완벽하게 추출한다. thumbnail.jpg에는 작은 썸네일 사진이 존재한다. 이후 이 사진에서 flag를 찾으려고 노력했지만 별다른 증거는 얻지 못했다. 그래서 HxD로 thumbnail.jpg를 분석했는데, APP1 마커에 썸네일이 발견됐다. 썸네일의 썸네일이 있다는 소리이다. [exifto..