일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- 윈도우 프로세스
- disk
- 생활코딩
- 실기
- pythonchallenge
- CTF-D
- Multimedia
- 는 하지마...
- 디지털포렌식 with CTF
- 정보처리기사 필기 합격
- 네트워크관리사2급
- memory
- Window process
- 네트워크 보안
- Multimeida
- slack space
- blkls
- ZIP 파일구조
- 윈도우 프로세스 종류
- 디지털포렌식
- ftz
- vinetto
- 24시간의 전사
- 생활코딩 html
- 2022시작
- 슬퍼유
- 포렌식
- N0Named
- network
- html
- Today
- Total
목록디지털포렌식 with CTF (56)
ssoL2 TISTORY
문제 : flag를 찾아라. (참고로 TEXT 형식의 FLAG) gangbang.avi를 시청하다보면 중간중간에 프레임 오버되는 현상이 나타난다. 동영상 중간에 flag를 숨겨놓은 모양이다. 동영상은 사진을 연속적으로 보여주는 것이므로 '프레임 단위'로 뽑아보자. [Forevid] 프로그램으로 프레임 단위로 export한다. 그러면 많은 사진 사이에 flag로 추정되는 사진이 발견된다. 넣어보니 정답이다. 끝 ! 🚫 flag는 🚫 더보기 26ab0db90d72e28ad0ba1e22ee510510
문제 : 이빨만큼 하얗다. image_c6a5567687720ec40a18f6860f32c8c730f2a223.png을 다운받는다. 아무것도 안보이는 새하얀 그림이다. 딱 봐도 스테가노그래피 문제이다. stegsolve로 살펴보자 (참고로 밑에 그림 캡쳐해놓은 상태..) Gray bits에서 flag를 발견할 수 있다. 끝 ! 🚫 flag는 🚫 더보기 true_steganographers_doesnt_need_any_tools
문제 : 이미지에 플래그가 있다. (힌트는 플래그는 eXist 하다.) logo.jpg의 모습이다. logo.jpg의 메타데이터에 flag가 숨겨져있었다. 문제 힌트가 exif(이미지, 비디오, 파일등의 메타데이터)를 뜻하는 말인가보다. 끝 ! 🚫 flag는 🚫 더보기 now_youre_thinking_with_exif
문제 : 문서 속에 flag가 존재한다. 찾으시오! (힌트 docx 파일이 정확히 무엇인가?) file.docx는 Microsoft word 2007+ 파일이다. docx 파일은 여러 파일을 압축한 형태구조이다. 따라서 ZIP 파일로 변경 후 확인하자. (file.docx -> file.zip) file.zip을 압축해제 하니 flag.txt를 발견할 수 있고, 내용을 읽으면 flag를 얻을 수 있다. 끝 ! 🚫 flag는 🚫 더보기 this_would_be_the_flag_you_are_looking_for
문제 : 파일에 내 친구와 그녀의 약혼자 비밀 사진이 들어있다. 확인해주세요! (힌트로 무언가 빠진 것 같다.) secret 파일을 다운받는다. 확장자 표시가 없으니 파일 정보를 확인해야 한다. [file] 명령어로 해당 파일이 ZIP 파일임을 확인했다. 그러면 secret -> secret.zip으로 [이름 바꾸기]한다. secret.zip을 압축해제 하니 secret.png이 추출됐고, 열어보니 파일 형식이 지원되지 않는다는 문구가 뜬다. HxD로 분석해보니 IHDR 청크는 존재하지만, 앞에 있어야 하는 PNG 헤더 시그니처가 완전하지 않다. PNG 헤더 시그니처는 "89 50 4E 47 0D 0A 1A 0A" 이다. 따라서 부족한 부분을 채우고 저장한다. 수정한 secret.png를 열어보면 정상적..
문제 : 1000개의 파일 중에서 JPEG 사진을 찾아라. (힌트로 Grep 명령어를 사용하자) data.zip을 다운받고 압축해제 한다. data 파일 안에는 대략 1000개 가량의 파일이 있다. 확장자가 없기 때문에 가시적으로 찾을 순 없다. JPG에는 JFIF, EXIF, SPIFF 종류가 있다. 대부분의 JPG는 JFIF이므로 [grep] 명령어로 data 디렉토리에 있는 모든 파일을 대상으로 "JFIF" string을 포함하는 파일을 찾는다. 결과물로 jpeg 파일이 출력된다. 또는 [file] 명령어와 [awk]를 조합하여 JPEG가 존재하는지 확인할 수도 있다. [awk]로 [file]의 두번째 필드값(파일유형)을 한정으로 [sort]하고, [uniq -c]로 중복된 내용을 없애고 몇 번 나..
문제 : 플래그를 보며 엄지 손가락을 치켜 올린다! -> 엄지 손가락 ? Thumbnail !! 파일을 열어보면 CSI 드라마에 나오는 호레이쇼가 무언가를 응시하고 있다. 힌트를 이용해서 썸네일을 확인하자. [exiftool]를 이용해서 47487 byte의 Thumbnail이 있음을 확인했다. [exiftool]를 이용해서 thumnail을 추출하자. [-binary] 옵션을 이용해 ThumbnailImage를 완벽하게 추출한다. thumbnail.jpg에는 작은 썸네일 사진이 존재한다. 이후 이 사진에서 flag를 찾으려고 노력했지만 별다른 증거는 얻지 못했다. 그래서 HxD로 thumbnail.jpg를 분석했는데, APP1 마커에 썸네일이 발견됐다. 썸네일의 썸네일이 있다는 소리이다. [exifto..
Multimedia 문제 : 원래 의미 없는 것에도 의미가 있을 수도 있다. -> 의미 없는 것을 분석하자 누가봐도 spam 메시지이다. 바로 [spammimic]으로 복호화한다. spammimic 특징은 말을 하다 말고 중간에 엔터가 들어가 읽기 힘들게 하고, 아무 의미없는 내용을 담는다. spammimic -> www.spammimic.com/encode.shtml 복호화 결과값으로 flag가 추출된다. 끝 ! 🚫 flag는 🚫 더보기 flag_is_b3st_spam_st3g4n0
Multimedia 문제 : Graphics Interchange Format = GIF the_nod.gif는 간달프가 끄덕거리는 GIF 파일이다. 중간에 깨짐 현상이 있어서 프레임 단위로 끊어보았다. 눈에 띄는 증거는 없었다. (간달프가 몇명이야..) GIF 프레임 추출 -> wepplication.github.io/tools/aniGifGen/ [strings] 명령어로 7글자 이상 STR 추출 + offset 추출했더니 마지막 부분에 flag가 발견됐다. 끝! 🚫 flag는 🚫 더보기 gandalfthebest
Multimedia 문제 : 기초...그리고 flag는 'TEXT' 형식 steg.png에는 어떤 분이 "Ghost in wires"라며 서있는 사진이다. 참고로 Ghost in the wires 라는 자서전은 Kevin Mitnick라는 역사상 가장 교묘한 컴퓨터 해커 아티스트를 잡는 추격전을 담은 자서전이다. 저 분이 Kevin Mitnick? 해당 파일은 PNG 파일이 맞고, [StegOnline]으로 bitplaine을 변경하며 숨겨진 증거를 찾아본다. StegOnline -> stegonline.georgeom.net/upload Red plane 3일 때 사람 몸 속에 있는 문구를 찾을 수 있다. flag 형식은 TEXT이므로 적용해보자. 끝! 🚫 flag는 🚫 더보기 L1nux3rror
Multimedia 문제 : 파일에서 플래그를 찾아라! sunrise.zip를 압축해제하면 sunrise.png가 추출된다. 상당히 큰 용량의 png 파일이다. sunrise.png이다. 일반적인 스테가노그래피 순서로 분석했지만, 특별히 얻을 만한 증거는 없었다. [TweakPNG] 프로그램으로 PNG 청크를 확인 및 편집이 가능하다. PNG는 너비와 높이를 조작하면 이미지를 조작할 수 있다. 따라서 sunrise 뜻처럼 숨겨져 있는 것이 있는지 확인하기 위해 너비와 높이를 조절하자. Width & Height : 이미지 폭과 높이 지정하며, 이 부분을 조작하면 이미지를 일그러뜨리기 가능 출처: https://ssol2-jjanghacker.tistory.com/entry/WHOIS포렌식-교육-OT?ca..
문제 : 계속 주시해라 ! => 뭘? flag 형식은 'TEXT'이다. Proxy.jpg를 다운 받으니 (너는 해킹 당했다) 라는 문구의 사진이 뜬다. 멀쩡한 사진이 보이니 JPG는 맞을 것이다. JPEG 파일이 맞다. [strings] 명령어로 7글자 이상 str 출력 + offset 출력했더니 마지막 str이 수상하다. [16bbee7466db38dad50701223d57ace8]을 flag로 넣어보니 정답이다. 또한, HxD로 열어보면 JPG 푸터 시그니처 끝나고 쓰레기 값이 존재하는데, 바로 flag였다. 🚫 flag는 🚫 더보기 16bbee7466db38dad50701223d57ace8