ssoL2 TISTORY

문제 : 수상한 이메일에 첨부되어 있는 파일은 무엇인가? GrrCON 2015 #1 문제와 이어지는 풀이 과정이기에 참고하시길 ! https://ssol2-jjanghacker.tistory.com/entry/CTF-DMemory-GrrCON-2015-1 [CTF-D/Memory] GrrCON 2015 #1 문제 : vmss 파일에서 수상한 이메일을 보낸 전자 메일 주소를 찾아라. 먼저, vmss 파일이 뭔지 알아보자. vmss 확장자를 지닌 파일은 vmware 가상머신에서 일시 중단한 상태의 데이터이다. 따라서, 이 ssol2-jjanghacker.tistory.com 간략하게 설명하자면, 메모리 덤프 파일을 volatility로 돌렸고, OULOOK.EXE 프로세스를 추출해서 분석해본 결과 아래 te..

문제 : vmss 파일에서 수상한 이메일을 보낸 전자 메일 주소를 찾아라. 먼저, vmss 파일이 뭔지 알아보자. vmss 확장자를 지닌 파일은 vmware 가상머신에서 일시 중단한 상태의 데이터이다. 따라서, 이 메모리 파일을 분석하기 위해 volatility를 이용합시다. volatility로 imageinfo 플러그인을 통해 Profile을 얻었고, 일단 어떤 프로세스를 실행하였는지 살펴보기 위해 pstree 플러그인을 사용하자. Teamviewer.exe 혹은 다양한 시스템 프로세스가 나오는 와중에, 이메일과 관련된 프로세스 발견 !! (Outlook이 아마 내가 알기론 마이크로소프트 계정으로 알고 있음) 해당 프로세스를 분석하기 위해 memdump로 따로 뺍시다! 사용 시 프로세스 PID 필요합..

https://covert.sh/2020/08/24/volatility-ubuntu-setup/ Set up Volatility on Ubuntu 20.04 Volatility framework The Volatility framework is a set of tools for memory forensics used for malware analysis, threat hunting, and extracting valuable information from RAM. Current versions need Python 2 to be installed. Python 3 support is under developm covert.sh 위 진행과정 다 따라하되, 3번에서 curl https://bootstrap...

문제 : 회의가 예정된 요일은 언제인가? Wireshark로 round1.pcap을 열어보았다. 가장 먼저 눈에 띄는 건 단언컨대 'IRC' 프로토콜이 아니겠는가 !! ( www.convertstring.com/ko/EncodeDecode/HtmlDecode ) 끝! 🚫 flag는 🚫 더보기 Wednesday

문제 : PCAP에서 flag를 찾아라. Wireshark로 열었다. [Statistics]-[Conversations]에서 TCP Stream이 3개 존재함을 확인할 수 있다. 그 중 tcp stream eq 0을 열어봤는데 반복적인 'irc'가 핵심인 것 같았다. 인터넷 릴레이 챗(Internet Relay Chat, 약칭: IRC)은 실시간 채팅 프로토콜로, 여러 사용자가 모여 대화를 나눌 수 있다. 그리고 IRC는 전통적인 채팅 프로토콜로, 이를 지원하는 수많은 서버 네트워크와 클라이언트가 존재한다. 위의 내용에 의하면 IRC 프로토콜을 사용하여 클라이언트와 서버가 채팅을 하려는 상황인 것으로 해석된다. 총 대화를 나누고 있는 사람은 [andrewg], [Matir], [itsl0wk3y]이며, ..

문제 : 스니핑한 캡쳐에서 변경한 비밀번호를 찾아라. Wireshark로 열고, [Statistics]-[Conversations]에서 보면 TCP Stream 1개를 발견할 수 있다. http post 요청을 한 것을 보면 비밀번호를 바꾸려고 시도하는 흔적이다. 아래 사진에 빨간색으로 표시한 부분을 보면 password에 대한 data가 존재한다. 자세한 패킷 정보를 보기 위해서 http post 패킷을 살펴보았다. HTML 형식의 URL에 변경된 password를 찾을 수 있다. flag 형식으로 되어 있다 ! 끝 🚫 flag는 🚫 더보기 flag{no,_lolteam_is_not_an_admin_account}

문제 : 패킷 캡쳐 파일에서 플래그를 찾아라. Wireshark로 열어보니 누가봐도 TCP 통신 [Statistics]-[Conversations]로 확인하면 TCP Stream 하나 발견할 수 있다. stream 일거옵면 flag가 존재한다. 끝 🚫 flag는 🚫 더보기 385b87afc8671dee07550290d16a8071

문제 : 덤프파일에서 Flag 값을 찾으시오. 다운받은 RunMe.DMP.xz에서 압축해제하면 RunMe.dmp 추출된다. exiftool로는 파일 형식을 알 수 없었고, file 명령어로 살펴보니 Window mini dump임을 확인할 수 있다. dump file을 자세히 분석하기 전에, string으로 나올까 해서 해보니 flag를 얻을 수 있었다. 끝! 🚫 flag는 🚫 더보기 SharifCTF{4d7328869acb371ede596d73ce0a9af8}

보호되어 있는 글입니다.

문제 : DOS 모드에서는 실행할 수 없는 것은 뭐냐?!? JPG를 열어보면 HEX 값을 볼 수 없다는 문구가 남겨져 있다. HxD로 살펴보자. JPG 뒤에 이상한 게 숨겨져있당 MZ로 시작하는거 보니 PE 파일인듯~ 따로 빼서 .EXE 확장자 넣고 실행해보니 flag 출력 완료~! 끝 🚫 flag는 🚫 더보기 aw3s0me_flag

문제 : 채팅을 가로챘다 !!! 실제로 패킷 분석하기 전에 제목의 의도를 생각해보았다. woodstock 치니까 스누피 캐릭터의 단짝 친구란다. 스누피..snoopy...snooping..???????? (

문제 : JPG에서 TEXT를 찾아라. JPG 사진이다. 안에 숨겨진 무언가를 찾기 위해 binwalk했고, zip 발견함 나와라 ! 총 3개 나왔고, 일단 zip 확장자 붙여서 압축해제 해보자. 29E0.zip을 열리지 않음.. (사실 당연함) 왜냐면 위에 binwalk에도 설명나와있지만 zip의 footer라고 나와있었기 때문!! 근데 footer뒤에 Delta_Force\m/라는 말이 추가적으로 붙어있음~! 뭔가 수상한 문구쓰! 반면, 292D.zip은 압축해제 가능했고, 뒤에 footer부분이 29E0.zip과 동일함을 확인 그냥 binwalk가 하나의 zip에서 꽁무니만 따로 빼서 또 추출한것임 암튼 압축해제되는 292D.zip을 해제하면 usethis 추출 뭔지 읽어보니 steghide를 다운..