CTF/UofTCTF 6 [UofTCTF] - [for] Secret Message 2 write up 보호되어 있는 글 입니다. 2024. 1. 16. [UofTCTF] - [for] Illusion write up 보호되어 있는 글 입니다. 2024. 1. 16. [UofTCTF] - [for] EnableMe write up 다음 문제입니다. 이제부터 적는 문제들은 제가 대회기간에 풀이하진 못했던 내용(대회 시간을 착각함..)이고 그 이후에 추가로 풀어본 내용들 입니다. 해당 문제는 확장자에서도 알 수 있듯이 매크로 기능이 담긴 word 파일입니다. 이런 파일 자체는 매크로 기능을 악성파일로 많이 사용하였기에 일반적인 방법으로 지금은 사용할 수 없는 방식이지만 해당 문제에서는 매크로 기능에 대해 알고 있는지에 대해 물어보는 문제인것 같습니다. 먼저 그럼 매크로와 관련된 내용을 확인해봤습니다. word 파일을 열고 아래 사진에 있는 부분을 통해서 매크로를 확인할 수 있습니다. 아래 사진처럼 매크로가 있는 것을 확인할 수 있습니다. 해당 코드를 보면 대충 v9은 v6을 통해서 무언가를 만들고 v10은 v7를 이용해서 무언가를 만.. CTF/UofTCTF 2024. 1. 16. [UofTCTF] - [for] No grep write up 다음으로 Hourglass의 연장선 문제입니다. 일단 해당 문제는 침해사고 문제이며 이러한 문제는 powershell, cmd 등 콘솔창에 플래그를 입력하고 해당 기록을 찾는 문제가 대부분 있어서 먼저 powershell 관련 로그를 확인해봤습니다. 여기서 powershell 로그를 확인하는 방법은 1. 이벤트로그 2. consolehost_history.txt 2가지 경우가 있고 두 가지 마다 각각의 흔적이 다릅니다. 일단 전 문제에서 .txt를 먼저 살펴봤기에 2번 방법을 먼저 살펴봤습니다. cd .\\Desktop\\ clear ls ifconfig ipconfig netstat -r clear exit cd .\\Desktop\\ clear ls .\\stomp_time.exe --help .\\.. CTF/UofTCTF 2024. 1. 16. [UofTCTF] - [for] Hourglass write up 다음은 침해사고 분석 문제입니다. 여기서 문제를 풀이하기 위해 환경을 만드는데 꽤나 고생을 했는데 저는 VMware만 사용을 해왔지만 해당 문제는 VirtualBox를 통해 제작된 문제였습니다. 해당 VirtualBox를 통해 ova형태로 가상머신 파일을 추출하였지만 VMware 상에서의 포맷이 일치하지 않아서 파일을 수정하려고 하다가 VirtualBox를 통해서 열어보니 열려 이 점도 알고 있으면 시간 낭비 하지 않고 좋을 것 같습니다. 문제를 열게 되면 다음과 같은 화면이 나오게 됩니다, 확인을 해보면 flag.txt와 Readme.txt라는 두가지 파일이 존재하고 flag.txt에는 fake flag가 존재하였고 Readme.txt에는 침입 흔적을 찾아달라는 내용입니다. 일반적으로는 침입과 관련된 .. CTF/UofTCTF 2024. 1. 16. [UofTCTF] - [for] Secret Message 1 write up 다음은 토론토대학교에서 출제한 CTF 중 포렌식 롸업을 적어볼까 합니다. 대회시간을 잘못 알아서 제대로 풀이하진 못했지만 풀이했던 내용들에 대해서 적어봤습니다. 해당 문제는 secret.pdf에서 가려진 내용을 찾는 문제입니다. 다음과 같이 내용이 있는데 저같은 경우는 whale로 열어서 가려진 부분을 복붙을 하였더니 플래그를 획득할 수 있었습니다. CTF/UofTCTF 2024. 1. 16. 반응형 이전 1 다음
