ssoL2 TISTORY

문제 : 어제 뭐했냐 ㅡ3ㅡ yesterday.zip 압축해제하면 pcap 파일 두둥등장 -> wireshark 실행합시다. sooooooooooooo many 하니까 제일 만만한 http부터 살펴봅시다. "http"로 필터링 거니까 오옷 ^^ 제일 눈길이 가는 music.zip 파일 ㅎㅎ 얻어냅시다. [follow]-[tcp stream]으로 살펴봅시다. 대충 보니까 mandushop에서 music.zip을 다운로드 받은 모양이다. PK로 시작하는 data 찾았으니 추출합시다. music.zip를 압축해제 하려했더니 pw필요하데요... 그래서 zip cracker로 bruteforce했더니 안나옴!!!! 다시 wireshark로 살펴보았더니 download 페이지에 있던 문구 발견 -> pw가 쓰여져있..

문제 : 누가 진짜일까? CERBERUS.bmp와 HELLTAKER.bmp 똑같은 사진임 bmp 파일인 것 보니까 헥스값 장난쳐놓은듯 예상 (cmp.txt는 내가 만든 파일,, 결국은 사용안함) [cmp -l] 명령어로 두 파일을 비교했다. [byte위치 첫번째파일값 두번째파일값] 형태로 출력된다. python으로 코딩합시다. 첫번째 파일의 다른점과 두번째 파일의 다른점을 각각 합쳐봄 a = list() b= list() for i in range(23) : tmp = input().split() a.append(chr(int(tmp[1],8))) b.append(chr(int(tmp[2],8))) dash='' a_stirng=dash.join(a) b_string=dash.join(b) print(a..

문제 : 리버스쉘 침해사고 발생, 웹 페이지 소스코드를 유출한 시간은? access.log 파일로 웹 사이트에서 요청했던 기록을 분석한다. 리버스 쉘이므로 "cmd="를 검색해서 필터링한다. 그러면 base64로 인코딩 된 값을 볼 수 있다. base64 decoding하면 아래와 같다. decode site -> www.base64decode.org/ 결론적으로 /var/www/upload/editor/image/를 tar 압축시키고 reverse.php를 동작시켜 웹페이지 소스코드를 유출했음을 알 수 있다. 따라서 유출 시간은 마지막 php 명령어이므로 2012-08-25_17:26:40이다. 🚫 flag는 🚫 더보기 2012-08-25_17:26:40

다운로드부터 쉽지 않음 ;;;;;;; 바이러스 검사 프로그램 난리남.. 화딱지,, IDA로 분석 OEP는 언패킹하고 실제 시작 위치이다. 그래서 패킹된 상태에서 주소가 바로 안나옴. 그러나, IDA는 entry point를 잘 찾아내지롱 ~ [start endp ; sp-analysis failed]가 하나 나왔는데, OEP일 수 밖에 없쥐 참고로 failed뜬 이유는 예상치 못한 주소를 가리킬 때 뜬다. auth 더보기 00401150

문제 : 오른쪽 위의 표지판을 읽을 수 있도록 이미지를 선명하게 하라 F100.png를 다운받으면 굉장히 흐릿하게 블러처리 되어있다. -> 바로 SmartDeblur로 개안합시다. [SmartDeblur] 프로그램에서 [Defect type]은 out of focus Blur로, Smoothness는 제일 작게한 후 Radius를 조절하면서 선명해질 때까지 맞춘다. 최종적으로 표지판이 보이게 된다. 끝! 🚫 flag는 🚫 더보기 Coxsackie

치환암호를 푸는 문제인 것 같다. 코딩짜러 가자.. 처음에 이딴 식으로 짰다.. 굉장히 똥손이죠 ^^;; alphabet = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j','k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z'] string = input() result_string = list() for i in string : try : index = alphabet.index(i) if index >= len(alphabet) - 2 : result_string.append(alphabet[index-len(alphabet)+2]) else : result_string.a..

2^38을 출력하고 URL을 고치라는 힌트가 주어졌다. 파이썬으로 pow 함수 이용해서 최종 값을 알아냈다. 최종적으로 274877906944.html을 부르면 다음 번호로 넘어간다~

attackme가 존재하고 hint로 코드를 살펴봅시다. 굉장히 긴 코드 등장. 역대급 코드 인정? (그래서 원래 가운데 정렬하는데 이번에는 왼쪽 정렬한다..쓸게 많아,,) 코드를 읽어보면서 중요한 것들만 골라내면 다음과 같다. 1. count >=100이면 "뭐하는거냐?" 문구 출력 2. check == 0xdeadbeef이면 shellout() 실행 => shell권한 획득 !! **중요 3. read 함수로 stdin 입력 받은 것을 1 byte씩 x에 저장 3-1. x가 '\r', '\n'이면 "\a" 출력 3-2. x가 0x08이면 count 1 빼고, "\b \b" 출력 3-3. 위 두 경우가 아니라면 string[count]에 변수 x값을 넣고, count 1 더한다. 결론적으로 다음 쉘을 ..

오랜만 ^^ 마저 남은 FTZ 끝내겠습니당 ^_^* 코드를 보면 LEVEL 16이랑 다른건 오직 하나! 그저 call 포인터를 우회할 함수가 없다는 것? buf bof일으키고 call 함수는 직접 쉘코드 환경변수를 만들어서 그 주소로 가리킬 것이다. export로 "SHELLCODE"라는 환경변수를 등록했고, 쉘코드는 25 byte짜리를 사용했는데 너무 길어서 캡쳐 짤린 것이다. 이때, "\x90"도 넣어줌으로써 안전하게 ^^ 쉘코드는 아래 주소에서 참고하였다. 쉘코드 모음 -> m.blog.naver.com/mathboy7/220215329450 env로 확인해보니 "SHELLCODE"가 생성됨을 알 수 있다. /home/level17/tmp로 가서 shell.c를 만들어 "SHELLCODE" 환경변수..

Multimedia 문제 : 그림에 flag가 있다. 찾아라 PurpleThing.png에는 이름 그대로 보라색의 무언가가 존재한다. 그런데, 해당 파일은 PNG 치고 2,300 KB = 2.3 MB 만큼의 큰 용량을 지니고 있다. 이 점에서 파일 안에 뭔가 숨겨져 있음을 알 수 있다. [binwalk]로 숨겨져 있는 파일을 확인해보니 JPEG 파일이 존재한다. [foremost] 명령어로 숨겨진 파일을 추출한다. 추출된 JPG에는 FLAG가 담겨져 있다. 끝 ! 🚫 flag는 🚫 더보기 ABCTF{PNG_S0_COO1}

Multimedia 문제 : 이 파일에서 FLAG를 찾으시오. jpg가 열리지 않아 파일 타입을 확인했더니 "PDP-11 UNIX/RP ldp"라고 나왔다. "PDP-11"은 디지털 이큅먼트 코퍼레이션(DEC)가 1970년부터 1990년대 까지 판매하였던 16 bit 미니컴퓨터 시리즈이다. HxD로 분석해보니 "FF DB"로 시작하는 DQT나 "FF C4"로 시작하는 DHT 등 JPG 파일 구조에 해당하는 마커들이 존재한다. 그러나 헤더 시그니처가 "FF D8"이 아닌 01 01으로 정체모를 헥스값이 존재한다. 따라서 JPG 헤더 시그니처인 "FF D8"을 추가한다. 이제 정상적으로 JPG 사진이 보인다. 사진 안에는 FLAG 값도 담겨있다. 끝 ! 🚫 flag는 🚫 더보기 abctf{tfw_kage_r..

Multimedia 문제 : 튤립 사진에서 flag를 찾자 ! (힌트, 낮에는 튤립이 지켜주니 밤에 찾자? + 선명한 시야 필요하다) tulip.png를 열어보니 튤립 사진이 나온다. 힌트를 바탕으로 [StegoOnline]으로 살펴보자. StegoOnline 사이트 -> stegonline.georgeom.net/upload [LSB Half] 기능으로 튤립 상단 왼쪽에 숨겨진 flag를 찾을 수 있다. 또한, [Forensically 온라인]으로 히스토그램 평준화 기능으로 flag를 찾을 수도 있다. Forencically 온라인 -> 29a.ch/photo-forensics/#forensic-magnifier 끝 ! 🚫 flag는 🚫 더보기 easyctf{all_hail_michy}