ssoL2 TISTORY

문제 : JPG에서 TEXT를 찾아라. JPG 사진이다. 안에 숨겨진 무언가를 찾기 위해 binwalk했고, zip 발견함 나와라 ! 총 3개 나왔고, 일단 zip 확장자 붙여서 압축해제 해보자. 29E0.zip을 열리지 않음.. (사실 당연함) 왜냐면 위에 binwalk에도 설명나와있지만 zip의 footer라고 나와있었기 때문!! 근데 footer뒤에 Delta_Force\m/라는 말이 추가적으로 붙어있음~! 뭔가 수상한 문구쓰! 반면, 292D.zip은 압축해제 가능했고, 뒤에 footer부분이 29E0.zip과 동일함을 확인 그냥 binwalk가 하나의 zip에서 꽁무니만 따로 빼서 또 추출한것임 암튼 압축해제되는 292D.zip을 해제하면 usethis 추출 뭔지 읽어보니 steghide를 다운..

문제 : GIF에서 이미지 파일을 찾아라. 뒤에 flag가 없네유.. GIF니까 사진 추출 좀 하겠읍니닷 ^^! binwalk로 뭐있나 쓱~살펴주고 (GIF, PNG, JPEG, PC Bitmap 확인요, Zlib은 버려요~) foremost하면 bmp가 추출이 안된다;; (

문제 : JPG에서 숨겨진 base64 플래그를 찾아라 뭔가 심오한 블랙홀쓰~(이뿌다) base64를 찾기 위해 strings으로 살펴본다. 마지막에 굉장히 수상해보이는, 누가봐도 base64처럼 보이는 문구가 도출! 찾은 문구를 base64로 해독했더니 이상한 값이 나온다. 뭔가 잘못됐다. 문제에서 flag 자체를 base64로 인코딩한 후 블랙홀로 보냈다고 했으니, BITCTF를 base64로 인코딩하면 어떤 모양인지 확인해보자. 근데, 아까 찾았던 문구랑 약간 비슷하다. BITCTF가 인코딩 되면 Q로 시작되는 것을 확인했으니 찾는 문구에서 맨앞에 'U'를 생략한 후 해독한다. 와 ! flag 도출 완료! sublime으로 찾은 flag의 길이를 쟀더니 24개다. base64는 길이가 4의 배수이기..

문제 : 쪼개졌다 ! splitted.7z를 압축해제 하니 pcap이 나왔고, 바로 wireshark로 분석하기 전에 NetworkMiner로 간단하게 분석해보자. NetworkMiner의 [file] 기능은 패킷에 있는 file 정보를 정리해놓는다. 또한, 추출도 가능하다. (개꿀딱!) 아래 사진에서 flag.zip과 flag[숫자].zip을 보면 패킷 전송하면서 ZIP 파일이 쪼개져서 전송됐음을 유추할 수 있다. 역시나 추출해도 ZIP이 열리지 않는 것을 보면 완전한 zip이 아님을 증명한다. HxD로 보면 flag.zip이 순서대로 쪼개진건 아닌듯 싶다. 왜냐하면, zip 파일은 50 4b 03 04가 헤더 시그니처이고, 50 4b 05 06 ~~~으로 마무리 되는데 뒤죽박죽이다. wireshark..

문제 : JPG 안에있는 TEXT 를 찾아라. 제목이 broken인 것을 보면 뭔가 부서진 느낌 Opps!! 딱바도 QR코드 문제 이 세상 QR코드를 찾아보면 11시, 1시, 7시에 네모박스 있어야함 그래서 1시, 11시에 빈 공간이 네모 박스이겠구나 추측가능 이제 11시 박스를 1시와 11시에 채워넣자 with 그림판 여기서, 핸드폰 카메라로 인식하면 잘 나옴 그러나, QR Code decorder PC 사이트로 하면 안됨 처리하는 과정이 리더기마다 다르다고 함. 내가 사용하는 qr코드 인식 사이트는 흰 바탕에 검은색 QR코드여야하나봐(정식 QR코드) 그래서 그림판으로 색 반전을 시킵니다. onlinebarcoderreader에 넣어보면 content가 잘 나오네유~ onlinebarcoderreade..

오랜만에 쓰는데 ,, 이젠 자세히 풀이 못할 것 같다.. 늙었나봐 .. 😥 문제 : text에서 키를 찾아라 ! very normal한 text파일. 근데 우연히 빈 공간에 마우스 클릭했는데 공백이 있다 !!! whitespace : 컴퓨터에서 콘솔이나 프린터로 찍었을 때 공백을 표현하는 문자들을 의미한다. ex) \t (탭), \n (개행문자), space 등 여담으로 whitespace를 가지고 만든 프로그래밍 언어도 존재.. 포렌식에서 whitespace 스테가노그래피 존재 -> stegsnow로 풀어보자 (-C 옵션이 없으면 안 풀림,, 왜그런지 찾아봤더니 well solved라네 ㅋㅋ 더 잘풀린대) 뭔가 문구가 나왔고, 바로 md5로 돌렸다. md5 online -> coding.tools/kr..

문제 : 리버스쉘 침해사고 발생, 웹 페이지 소스코드를 유출한 시간은? access.log 파일로 웹 사이트에서 요청했던 기록을 분석한다. 리버스 쉘이므로 "cmd="를 검색해서 필터링한다. 그러면 base64로 인코딩 된 값을 볼 수 있다. base64 decoding하면 아래와 같다. decode site -> www.base64decode.org/ 결론적으로 /var/www/upload/editor/image/를 tar 압축시키고 reverse.php를 동작시켜 웹페이지 소스코드를 유출했음을 알 수 있다. 따라서 유출 시간은 마지막 php 명령어이므로 2012-08-25_17:26:40이다. 🚫 flag는 🚫 더보기 2012-08-25_17:26:40

문제 : 오른쪽 위의 표지판을 읽을 수 있도록 이미지를 선명하게 하라 F100.png를 다운받으면 굉장히 흐릿하게 블러처리 되어있다. -> 바로 SmartDeblur로 개안합시다. [SmartDeblur] 프로그램에서 [Defect type]은 out of focus Blur로, Smoothness는 제일 작게한 후 Radius를 조절하면서 선명해질 때까지 맞춘다. 최종적으로 표지판이 보이게 된다. 끝! 🚫 flag는 🚫 더보기 Coxsackie

Multimedia 문제 : 그림에 flag가 있다. 찾아라 PurpleThing.png에는 이름 그대로 보라색의 무언가가 존재한다. 그런데, 해당 파일은 PNG 치고 2,300 KB = 2.3 MB 만큼의 큰 용량을 지니고 있다. 이 점에서 파일 안에 뭔가 숨겨져 있음을 알 수 있다. [binwalk]로 숨겨져 있는 파일을 확인해보니 JPEG 파일이 존재한다. [foremost] 명령어로 숨겨진 파일을 추출한다. 추출된 JPG에는 FLAG가 담겨져 있다. 끝 ! 🚫 flag는 🚫 더보기 ABCTF{PNG_S0_COO1}

Multimedia 문제 : 이 파일에서 FLAG를 찾으시오. jpg가 열리지 않아 파일 타입을 확인했더니 "PDP-11 UNIX/RP ldp"라고 나왔다. "PDP-11"은 디지털 이큅먼트 코퍼레이션(DEC)가 1970년부터 1990년대 까지 판매하였던 16 bit 미니컴퓨터 시리즈이다. HxD로 분석해보니 "FF DB"로 시작하는 DQT나 "FF C4"로 시작하는 DHT 등 JPG 파일 구조에 해당하는 마커들이 존재한다. 그러나 헤더 시그니처가 "FF D8"이 아닌 01 01으로 정체모를 헥스값이 존재한다. 따라서 JPG 헤더 시그니처인 "FF D8"을 추가한다. 이제 정상적으로 JPG 사진이 보인다. 사진 안에는 FLAG 값도 담겨있다. 끝 ! 🚫 flag는 🚫 더보기 abctf{tfw_kage_r..

Multimedia 문제 : 튤립 사진에서 flag를 찾자 ! (힌트, 낮에는 튤립이 지켜주니 밤에 찾자? + 선명한 시야 필요하다) tulip.png를 열어보니 튤립 사진이 나온다. 힌트를 바탕으로 [StegoOnline]으로 살펴보자. StegoOnline 사이트 -> stegonline.georgeom.net/upload [LSB Half] 기능으로 튤립 상단 왼쪽에 숨겨진 flag를 찾을 수 있다. 또한, [Forensically 온라인]으로 히스토그램 평준화 기능으로 flag를 찾을 수도 있다. Forencically 온라인 -> 29a.ch/photo-forensics/#forensic-magnifier 끝 ! 🚫 flag는 🚫 더보기 easyctf{all_hail_michy}

Multimedia 문제 : 답을 찾기 위해 돋보기를 써라! (Flag는 TEXT 형식이다.) HTML 파일을 브라우저로 열어보면 QR코드가 나온다. QR코드 Decoder 사이트로 qr코드 캡쳐한 이미지를 업로드하면 TEXT를 출력한다. QR코드 Decode -> blog.qr4.nl/Online-QR-Code-Decoder.aspx 출력된 TEXT가 flag임을 알 수 있다. 끝 ! 🚫 flag는 🚫 더보기 8febb919bc0fc08e3e1108b1b6bfef37