ssoL2 TISTORY

Multimedia 문제 : 파일에서 플래그를 찾아라! sunrise.zip를 압축해제하면 sunrise.png가 추출된다. 상당히 큰 용량의 png 파일이다. sunrise.png이다. 일반적인 스테가노그래피 순서로 분석했지만, 특별히 얻을 만한 증거는 없었다. [TweakPNG] 프로그램으로 PNG 청크를 확인 및 편집이 가능하다. PNG는 너비와 높이를 조작하면 이미지를 조작할 수 있다. 따라서 sunrise 뜻처럼 숨겨져 있는 것이 있는지 확인하기 위해 너비와 높이를 조절하자. Width & Height : 이미지 폭과 높이 지정하며, 이 부분을 조작하면 이미지를 일그러뜨리기 가능 출처: https://ssol2-jjanghacker.tistory.com/entry/WHOIS포렌식-교육-OT?ca..

문제 : 계속 주시해라 ! => 뭘? flag 형식은 'TEXT'이다. Proxy.jpg를 다운 받으니 (너는 해킹 당했다) 라는 문구의 사진이 뜬다. 멀쩡한 사진이 보이니 JPG는 맞을 것이다. JPEG 파일이 맞다. [strings] 명령어로 7글자 이상 str 출력 + offset 출력했더니 마지막 str이 수상하다. [16bbee7466db38dad50701223d57ace8]을 flag로 넣어보니 정답이다. 또한, HxD로 열어보면 JPG 푸터 시그니처 끝나고 쓰레기 값이 존재하는데, 바로 flag였다. 🚫 flag는 🚫 더보기 16bbee7466db38dad50701223d57ace8

Multimedia 문제 : 사진 속에 flag를 찾자 img.jpg는 (조용히 하고 깃발을 잡아라) 라는 글이 담긴 JPG 사진이다. 사진이 잘 보이는 걸로 봐선 특별한 오류는 없는 상황이다. 항상 리눅스로 파고 들기 전에 윈도우에서 [파일 속성]을 확인한다. 파일 설명에 FLAG를 삽입하는 경우도 종종 있기 때문이다. 이 문제도 '저작권'에서 발견됐다. 끝 ! 🚫 flag는 🚫 더보기 h1d1ng_in_4lm0st_pla1n_sigh7

문제 : 세 도둑이 나무를 통해 트럼펫을 던졌습니다. => 뭐지 ? jmage1.jpg를 열어보니 '이 파일 형식은 지원되지 않는 것 같습니다'라고 뜬다. 확장자가 잘못된 것 같다. [file] 명령어로 파일 정보를 살펴보니 JPG가 아니라 'WAVE 오디오'이다. HxD에서도 살펴보면 파일 헤더가 '52 49 46 46'으로 Wave 포맷 형식임을 알 수 있다. image1.jpg -> image1.wav로 [이름 바꾸기]한 후 실행하니 동물의 숲 npc가 말하는 것처럼 옹알옹알 거린다. 음악 파일을 빨리감기 해놓은 것 같다. Audacity를 이용하여 음악 파일을 분석한다. 음악 배속을 0.25배속으로 낮춰 들으니 남성 목소리가 들린다. 근데 알아 들을 수 있는 말이 아니다. 백마스킹이 의심되어 역순..

Multimedia 문제 : 달의 키를 찾아라 moon.png는 달 사진이다. 해당 파일을 분석해봅시다. [file] 명령어로 moon.png가 PNG 파일임을 확인했다. [binwalk] 명령어로 숨겨진 파일 탐색을 했는데, 속에 ZIP 파일이 발견됐고 그 압축 파일 안에는 flag.txt이 있다. [foremost] 명령어로 파일안에 분리된 세션파일 ZIP을 추출한다. \output\zip으로 가서 추출된 zip 파일을 압축해제하려고 했지만, 패스워드가 필요하다. [Advanced Archive Password Recovery] 프로그램으로 암호 크래킹 성공 -> pw는 [moon] zip 압축해제하고 flag.txt를 열어보니 flag가 있다. 끝 ! 🚫 flag는 🚫 더보기 sun{0kay_it_..

Multimedia 문제 : 플래그를 찾아라 ! 밑에 책 오탈자 정정 문구가 있는데.. 보기 싫었지만 이미 봐버린 눈.......hint를 봐버렸어 엉엉 dump1.raw.lzma 다운받았다. lzma 확장자는 처음 봤는데, 압축 파일이란다. 반디집으로 압축 해제하니 dump1.raw가 추출됐다. raw 확장자는 메모리 덤프일테니 volatility를 이용해서 분석한다. (파일 이름도 "dump1"이다..) volatiliy 디렉터리로 가서 dump1.raw도 옮겨놓고 [imageinfo] 명령어로 운영체제 정보를 확인한다. Suggested Profiles(s)가 [WinWin10x64]이다. 프로세스 분석하기 위해 [pstree] 명령어를 사용한다. explorer.exe 탐색기로 mspaint.ex..

Multimedia 문제 : butterfly 키를 찾아라 bufferfly.png는 나비와 꽃 사진이다. png 사진 정보를 알아보자. [find] 명령어로 butterfly.png는 PNG 파일임을 확인했다. [StegoOnlie]에서 컬러 변조를 해봅시다. StegoOnlie 사이트 -> stegonline.georgeom.net/upload [Browse Bit Plane]으로 컬러 비트 변환을 해본 결과 숨은 flag를 바로 찾을 수 있었다. 참고로 [Forencically]에서 히스토그램 평준화 기능으로 명암 분포를 고르게 만들고, 확대기능까지 이용해서 flag를 얻을 수도 있다. Forencically 사이트 -> 29a.ch/photo-forensics/#forensic-magnifier ..

Multimedia 문제 : 파일에 플래그를 넣었는데, 오는 길에 엉망이 됐다.. 확장자가 없는 그냥 flag 파일이다. 파일 정보를 파악합시다. [file] 명령어로 확인해보니 flag 파일은 gzip 압축 파일이었다. flag -> flag.gz 으로 [이름 바꾸기] 했다. [gzip] 명령어에서 [-d] 옵션이 decompress 옵션이다. 압축해제 완료 flag 파일 등장 ASCII text로 flag가 담겨있는 파일이었다. 끝! 🚫 flag는 🚫 더보기 ABCTF{broken_zipper}

Multimedia 문제 : 사진 속에서 빨간색이 이상해보인다 ?! hidden.png를 다운받자. 커여운 댕댕이 등장 ! 🐶 문제에서 빨간색이 이상하다는 말을 한 이유가 있을 것 -> [StegOnline]으로 살펴보자. StegOnline 사이트 -> stegonline.georgeom.net/upload 빨간색과 관련된 [Full Red]해도 flag는 나타나지 않는다. 다른 것도 마찬가지. 밑에 [Browse Bit Planes]를 눌러 모든 경우의 컬러 비트 변환을 살펴보자. 한번에 나왔다 ! [Red 0]일 경우에 나오는구만 ! 끝! 🚫 flag는 🚫 더보기 tjctf{0dd5_4nd_3v3n5} 근데 위에 사진 너무 떡하니 있는데 ㅇ.ㅇ;;

Multimedia 문제 : 파일에 플래그가 있다. 추출하자 ! just_open_it.jpg를 다운받자. 사진은 이미지 스테가노그래프 문제처럼 보인다. 스테가노그래프 푸는 순서대로 풀자. [file] 명령어로 파일 정보를 확인하니 JPEG 파일은 확실했다. [strings] 명령어로 7글자 이상 출력하고, 해당 string 주소 offset도 출력하도록 했더니 flag가 발견됐다. 끝! 🚫 flag는 🚫 더보기 ABCTF{forensics_1_tooo_easy?}

Multimedia 문제 : 개가 플래그를 안준다. 꺼내주시오 ! hidden.jpg 다운받는다. 사진보니까 Color 변조처럼 보인다. [StegOnline]에서 분석하자. StegOnline사이트 -> stegonline.georgeom.net/upload 기본 5가지 옵션을 눌러보면서 사진 변화를 살펴봤다. [LSB Half]를 누르니 강아지 입 속에 숨겨진 flag가 잘 보인다. 획득 ! 또한, [Forensically] 사이트에서도 Magnifier로 flag를 확인할 수 있다. 사이트 -> 29a.ch/photo-forensics/#forensic-magnifier 끝~ 🚫 flag는 🚫 더보기 ftctf{th3_f0x_jump3d_0v3r_m3}

문제 : 해커가 김장군의 PC에 침투했다. 1. 김장군 PC의 IP주소 2. 해커가 열람한 기밀문서 이름 3. 기밀문서 내용을 알아내라. 다운로드한 메모리 덤프 파일을 volatility.exe 위치에 옮긴다. 일단 해커가 김장군의 PC에 침투한 건 사실이다. 사고 직후에 김장군의 PC의 메모리를 덤프했으니 해당 파일을 분석하기 위해 volatility를 이용하자. IP주소를 확인하기 위해 netscan 명령어를 입력하니 [127.0.0.1], [0.0.0.0], [192.168.197.138] 3개의 ip 주소가 나왔다. [127.0.0.1]는 localhost고, [0.0.0.0]은 '모든 IP를 의미하므로' 김장군 PC IP주소는 192.168.197.138이다. 해커가 열람한 기밀문서를 확인하기 ..