CTF 4 [BITSCTF] - [DFIR] MogamBro's guilty pleasure write up 해당 문제는 스팸메일을 분석해보라는 문제입니다. LNK파일을 분석을 해보면 Outlook과 관련된 내용이 많아서 경로를 확인해보니 다음과 같은 경로가 존재하였고 해당 경로로 이동하여 eml파일을 추출하여 분석하였습니다. 관련 문제 아이디어는 지금은 리뉴얼중인 CTF-D 사이트에서도 출제되었던 아이디어로 spamimic 사이트를 통해 풀이할 수 있는 문제입니다. 해당 사이트에 들어가서 메일의 본문 내용을 적어주고 디코딩하면 플래그를 획득할 수 있습니다. CTF/BITSCTF 2024. 2. 19. [UofTCTF] - [for] EnableMe write up 다음 문제입니다. 이제부터 적는 문제들은 제가 대회기간에 풀이하진 못했던 내용(대회 시간을 착각함..)이고 그 이후에 추가로 풀어본 내용들 입니다. 해당 문제는 확장자에서도 알 수 있듯이 매크로 기능이 담긴 word 파일입니다. 이런 파일 자체는 매크로 기능을 악성파일로 많이 사용하였기에 일반적인 방법으로 지금은 사용할 수 없는 방식이지만 해당 문제에서는 매크로 기능에 대해 알고 있는지에 대해 물어보는 문제인것 같습니다. 먼저 그럼 매크로와 관련된 내용을 확인해봤습니다. word 파일을 열고 아래 사진에 있는 부분을 통해서 매크로를 확인할 수 있습니다. 아래 사진처럼 매크로가 있는 것을 확인할 수 있습니다. 해당 코드를 보면 대충 v9은 v6을 통해서 무언가를 만들고 v10은 v7를 이용해서 무언가를 만.. CTF/UofTCTF 2024. 1. 16. [UofTCTF] - [for] Hourglass write up 다음은 침해사고 분석 문제입니다. 여기서 문제를 풀이하기 위해 환경을 만드는데 꽤나 고생을 했는데 저는 VMware만 사용을 해왔지만 해당 문제는 VirtualBox를 통해 제작된 문제였습니다. 해당 VirtualBox를 통해 ova형태로 가상머신 파일을 추출하였지만 VMware 상에서의 포맷이 일치하지 않아서 파일을 수정하려고 하다가 VirtualBox를 통해서 열어보니 열려 이 점도 알고 있으면 시간 낭비 하지 않고 좋을 것 같습니다. 문제를 열게 되면 다음과 같은 화면이 나오게 됩니다, 확인을 해보면 flag.txt와 Readme.txt라는 두가지 파일이 존재하고 flag.txt에는 fake flag가 존재하였고 Readme.txt에는 침입 흔적을 찾아달라는 내용입니다. 일반적으로는 침입과 관련된 .. CTF/UofTCTF 2024. 1. 16. [NEW YEAR'S CTF] - [for] Panda write up 다음으로는 Panda라는 문제입니다. 파일을 다운로드하면 암호가 걸려있는 zip파일을 획득할 수 있었습니다. 먼저 해당 암호를 크랙하기 위해 zip2john을 이용하도록 하겠습니다. 다음과 같이 2611라는 비밀번호를 획득하였습니다. 파일을 확인해보면 다음과 같이 2개의 파일이 존재하고 오른쪽 파일을 위에 부분은 정상이지만 오른쪽 부분에 깨져있습니다. 저는 해당 두 파일이 같은 파일이라고 생각하였고 밑에 파일 데이터가 깨졌기에 해당 데이터가 깨진 부분을 확인하고자 두 파일의 차이점을 찾기 위해 HxD가 지원하는 비교 기능을 이용하여 해당 파일에 차이부분을 살펴봤습니다. 다음과 같이 차이점을 보다보면 플래그 형식처럼 HEX값이 숨겨져 있었고 해당 부분을 전부 찾아내면 플래그를 획득할 수 있습니다. grod.. CTF/NEW YEAR'S CTF 2024. 1. 16. 반응형 이전 1 다음
