ssoL2 TISTORY

Multimedia 문제 : 파일에 플래그가 있다. 추출하자 ! just_open_it.jpg를 다운받자. 사진은 이미지 스테가노그래프 문제처럼 보인다. 스테가노그래프 푸는 순서대로 풀자. [file] 명령어로 파일 정보를 확인하니 JPEG 파일은 확실했다. [strings] 명령어로 7글자 이상 출력하고, 해당 string 주소 offset도 출력하도록 했더니 flag가 발견됐다. 끝! 🚫 flag는 🚫 더보기 ABCTF{forensics_1_tooo_easy?}

Multimedia 문제 : 개가 플래그를 안준다. 꺼내주시오 ! hidden.jpg 다운받는다. 사진보니까 Color 변조처럼 보인다. [StegOnline]에서 분석하자. StegOnline사이트 -> stegonline.georgeom.net/upload 기본 5가지 옵션을 눌러보면서 사진 변화를 살펴봤다. [LSB Half]를 누르니 강아지 입 속에 숨겨진 flag가 잘 보인다. 획득 ! 또한, [Forensically] 사이트에서도 Magnifier로 flag를 확인할 수 있다. 사이트 -> 29a.ch/photo-forensics/#forensic-magnifier 끝~ 🚫 flag는 🚫 더보기 ftctf{th3_f0x_jump3d_0v3r_m3}

문제 : 없음.. ? ㄹㅇ 없음 아, 제목이 유일한 힌트이다. 알집안에 데이터 하나 존재한다. 패킷로그분석하면서 알집을 찾아야하는듯 Wireshark로 오픈하니 FTP 프로토콜이 대부분이다. 고로 알집으로 파일 전송하는 패킷이 있을 것이다. FTP 서버 연결해서 TLS와 SSL 보안 연결 요청을 했지만 응답으로 AUTH not understood 오류가 난다. 보안 연결을 못한 상황이다. 그 다음 로그인도 성공적으로 했다. FTP 서버에서 PWD 명령어를 사용하고 해당 결과값이다. 이후 끊기고 다시 한번 연결하는 모양이다. 앞 과정을 한번 더 시행한다. CWD 명령어로 /html 파일로 현재 주소를 옮긴다. 이후 STOR 명령어로 flag.zip 파일을 FTP 서버로 전송하는 것, 즉 파일을 업로드한다...

문제 : 게시판에 불법 게시물이 올라왔다 삭제됐다. 범인의 id와 pw를 찾고 글의 내용도 조사하라. boad.pcapng를 분석하기 위해 Wireshark를 사용하자. 삭제한 내용을 살펴보려고 맨 뒤에 쌓인 패킷부터 살펴봤다. 언뜻 보니 HTTP 프로토콜로 delete_done과 관련된 URL을 요청한다. 패킷의 추가 데이터는 존재하지 않아 위로 올라가자. 삭제 이전에 작성한 내용이 있을 것이다. view도 있고 list도 있고 게시글 작성과 관련된 url write_chk.php를 발견했다. HTTP 프로토콜 POST 메소드로 데이터를 전송하여 게시물을 작성했다. HTML 양식의 컨텐츠 내용은 제목이 "flag 판매합니다"라는 게시물이며 내용을 보니 이전에 삭제한 경험이 있고, 이 문제의 flag 값..

문제 : 인형을 열어라 ! bing.png 사진은 러시아의 마트료시카 인형으로 보이고 계속 안의 내용물을 손으로 꺼내는 모습이다. 여기서 계속 꺼내는, 즉 extract할 상황이 생길 것이다 암시 ! HxD로 분석했을 때 IEND 청크 뒤에 쓰레기값으로 PASS:1234 string이 있다. 따라서 1234라는 패스워드를 가지고 extract하면 되겠다. Openstego 응용프로그램을 사용해 extract 과정을 합시다. medium.png가 추출됐고 파일이름이 big.png->medium.png로 향하는 것을 보면 작은 인형도 존재할 것이다. 한번 더 openstego 돌려보니 역시나 small.png가 들어있다. 마지막으로 한번 더 돌려보자. 인형 깊숙한 곳에 있던 flag.txt가 발견됐고 fla..

문제 : Left Side B 자체가 힌트... B 왼쪽에 뭐가 있단 뜻인가..흠(?) b.zip을 압축해제 후 task.bmp 파일 발견. bmp라면.........................LSB 변조? HxD로 살펴봅시다. bmp 파일 헤더에서 형광펜 쳐놓은 8A 00 00 00은 실질 데이터 픽셀의 시작 offset이다. 리틀인디언으로 0000008A 주소로 가보면 픽셀데이터가 시작된다. 픽셀 데이터 시작 부분부터 형광펜 친 부분 전체가 FF와 FE로 번갈아서 나오는데 딱보니까 LSB 변조처럼 보인다 ㅇㅇ 왜냐면 bmp 사진엔 흰색바탕만 있는데 FF 대신 굳이 FE ? 그래서 그 변조 부분들만 골라서 더러운 파이썬 실력으로 대충 짜서 FE는 0으로 FF는 1로 치환하고 8개씩 묶어서 ASCII로..

문제 : 구매했던 자료, [B] 유출된 자료 거래 사건[3]의 Confidential.doc.hwp를 활용하기 위한 계획을 세움 계획 문서를 암호화해서 숨겨뒀는데 어디있을까요? Confidential.doc.hwp는 todaysmemo.hwp로 이름이 바뀐 기록이 있다.(문제 [B]-[3]에서 하는 내용) 이후 8분 뒤에 todaysmemo.hwp는 삭제된다. 구매한 자료를 봤으니 지우는 모양이다. 같은 시각, 곧바로 메모장을 만들어 구매한 자료를 어떻게 활용할 계획인지 plan.txt로 문서화했다. 이 plan.txt가 문제 설명이 나와있는 계획인 모양이다. plan.txt와 관련한 파일 로그를 살펴보기 위해서 'plan'으로 필터링하였는데, File Deletion 로그를 발견하였다. 그런데 상황 전..

문제 : 아니 오해라니까유;;;; 😅 수상한 사이트 아니잖아! NEXT URL Title도 없는 이 주소...약간 수상하긴 하다 ^^ 들어가봅시다. FLAG 수집 냠냠 끝 !

문제 : 동거자의 이름과 계정이 삭제된 시각을 찾아내시오 ! --^ 7zip으로 압축 풀면 nonamed.vmdk 발견 => FTK Imager로 열어봅시다. 문제 설명에서 보면 하나의 컴퓨터로 두 계정을 사용한 것으로 보이는데, 휴지통에서 두 개의 SID 계정 폴더가 있는 것을 보고 확신했다. User 폴더에 가보니 계정 이름으로 cocktail과 nonamed를 찾을 수 있었다. * Default User 폴더 : 새로운 계정을 위한 Default 폴더 이후, 계정 삭제의 로그을 찾아서 계정의 이름과 삭제 시각을 알아내면 된다. 계정 로그인 시도에 대한 로그는 윈도우 이벤트 로그에서 보안 로그를 통해서 찾을 수 있다. 3. 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 접근의 리소스 사..

문제 : [B] 유출된 자료 거래 사건[1]에서 많은 USB 중 PC에 꽂은 USB를 정확히 찾은 상태, 이제 해당 USB로 옮긴 파일을 찾자. 문제 설명에서 USB에 옮긴 파일을 찾을 때 해당 파일은 어디서 입수했을지 생각하라는 힌트를 제시했다. 파일이 갑자기 뿅 나타날 일은 없으니까 가장 먼저 인터넷 기록인 크롬 기록을 살펴보았다. HISTORY를 export해서 DB Browser for SQLite로 열어본 상태이다. 다양한 URL이 나오는데 그 중에서 이메일과 관련하여 파일 수집 과정을 추론할 수 있었다. 1. Gmail을 사용하기 위해 2. Google 계정을 만들고(아이디도 대충 지었음 yesnamed1234) 3. 받은편지함(1)을 보면 알 수 있는 것처럼 이메일을 수신해 파일을 다운로드한..

문제 : 내부 자료가 유출된 상황, 현장 증거 자료인 USB의 흔적(USB 제조회사, USB 볼륨레이블)을 찾자. USB 외장하드를 연결하면 여러 가지 흔적이 남게 된다. 자세한 과정은 나중에 따로 정리할 예정이지만 간략하게 설명하면 드라이버 설치 흔적, 마운트 흔적 그리고 연결 해제 흔적 등 "여러 흔적"이 레지스트리의 "여러 곳"에 남게 된다. 아래의 경우는 레지스트리의 USBStor 키 항목을 이용하여 사건을 해결하였다. - 사건 파일: 윈도우 레지스트리와 USBStor 텍사스 오스틴의 조그만한 도시, 아동 포르노 사건외장하드에 아동 포르노 발견 -> 노트북 시스템의 레지스트리 USBStor 키 항목 발견 출처: https://ssol2-jjanghacker.tistory.com/entry/이제-시..

문제 : 실수로 중요한 사진을 지운 것 같은데 복구해 줄 수 있냐잉 -_-^ ? (해당 다운로드 파일은 용량이 커서 다소 오래걸림) diskC랑 diskD ad1 나옴 -> FTK Imager로 살펴봅시다. diskD는 오류 메세지가 뜨면서 접근이 불가능하다. 그러나 문제에서는 '사직 복구' 관련 문제이므로 diskD랑은 관련 없는 내용이라 생각했고, 아마 다른 문제에서 사용되는 디스크인 것 같다. diskC를 살펴봅시다. 우선적으로 desktop을 살펴보니 [과제]의 흔적이 남아있었는데, 고양이와 강아지에 대한 심오한..자료를 볼 수 있었다. 이후 downloads를 보는데 youtube.jpg가 Regular File이 아닌 $I30 INDX Entry이다. https://www.osforensics..