forensic 12 [BITSCTF] - [DFIR] MogamBro's guilty pleasure write up 해당 문제는 스팸메일을 분석해보라는 문제입니다. LNK파일을 분석을 해보면 Outlook과 관련된 내용이 많아서 경로를 확인해보니 다음과 같은 경로가 존재하였고 해당 경로로 이동하여 eml파일을 추출하여 분석하였습니다. 관련 문제 아이디어는 지금은 리뉴얼중인 CTF-D 사이트에서도 출제되었던 아이디어로 spamimic 사이트를 통해 풀이할 수 있는 문제입니다. 해당 사이트에 들어가서 메일의 본문 내용을 적어주고 디코딩하면 플래그를 획득할 수 있습니다. CTF/BITSCTF 2024. 2. 19. [UofTCTF] - [for] EnableMe write up 다음 문제입니다. 이제부터 적는 문제들은 제가 대회기간에 풀이하진 못했던 내용(대회 시간을 착각함..)이고 그 이후에 추가로 풀어본 내용들 입니다. 해당 문제는 확장자에서도 알 수 있듯이 매크로 기능이 담긴 word 파일입니다. 이런 파일 자체는 매크로 기능을 악성파일로 많이 사용하였기에 일반적인 방법으로 지금은 사용할 수 없는 방식이지만 해당 문제에서는 매크로 기능에 대해 알고 있는지에 대해 물어보는 문제인것 같습니다. 먼저 그럼 매크로와 관련된 내용을 확인해봤습니다. word 파일을 열고 아래 사진에 있는 부분을 통해서 매크로를 확인할 수 있습니다. 아래 사진처럼 매크로가 있는 것을 확인할 수 있습니다. 해당 코드를 보면 대충 v9은 v6을 통해서 무언가를 만들고 v10은 v7를 이용해서 무언가를 만.. CTF/UofTCTF 2024. 1. 16. [UofTCTF] - [for] Hourglass write up 다음은 침해사고 분석 문제입니다. 여기서 문제를 풀이하기 위해 환경을 만드는데 꽤나 고생을 했는데 저는 VMware만 사용을 해왔지만 해당 문제는 VirtualBox를 통해 제작된 문제였습니다. 해당 VirtualBox를 통해 ova형태로 가상머신 파일을 추출하였지만 VMware 상에서의 포맷이 일치하지 않아서 파일을 수정하려고 하다가 VirtualBox를 통해서 열어보니 열려 이 점도 알고 있으면 시간 낭비 하지 않고 좋을 것 같습니다. 문제를 열게 되면 다음과 같은 화면이 나오게 됩니다, 확인을 해보면 flag.txt와 Readme.txt라는 두가지 파일이 존재하고 flag.txt에는 fake flag가 존재하였고 Readme.txt에는 침입 흔적을 찾아달라는 내용입니다. 일반적으로는 침입과 관련된 .. CTF/UofTCTF 2024. 1. 16. [UofTCTF] - [for] Secret Message 1 write up 다음은 토론토대학교에서 출제한 CTF 중 포렌식 롸업을 적어볼까 합니다. 대회시간을 잘못 알아서 제대로 풀이하진 못했지만 풀이했던 내용들에 대해서 적어봤습니다. 해당 문제는 secret.pdf에서 가려진 내용을 찾는 문제입니다. 다음과 같이 내용이 있는데 저같은 경우는 whale로 열어서 가려진 부분을 복붙을 하였더니 플래그를 획득할 수 있었습니다. CTF/UofTCTF 2024. 1. 16. [NEW YEAR'S CTF] - [for] Panda write up 다음으로는 Panda라는 문제입니다. 파일을 다운로드하면 암호가 걸려있는 zip파일을 획득할 수 있었습니다. 먼저 해당 암호를 크랙하기 위해 zip2john을 이용하도록 하겠습니다. 다음과 같이 2611라는 비밀번호를 획득하였습니다. 파일을 확인해보면 다음과 같이 2개의 파일이 존재하고 오른쪽 파일을 위에 부분은 정상이지만 오른쪽 부분에 깨져있습니다. 저는 해당 두 파일이 같은 파일이라고 생각하였고 밑에 파일 데이터가 깨졌기에 해당 데이터가 깨진 부분을 확인하고자 두 파일의 차이점을 찾기 위해 HxD가 지원하는 비교 기능을 이용하여 해당 파일에 차이부분을 살펴봤습니다. 다음과 같이 차이점을 보다보면 플래그 형식처럼 HEX값이 숨겨져 있었고 해당 부분을 전부 찾아내면 플래그를 획득할 수 있습니다. grod.. CTF/NEW YEAR'S CTF 2024. 1. 16. [Space Heroes CTF] - [for] conspiracy nut write up 다음으로 제가 해당 CTF에서 마지막으로 풀었던 문제입니다, 해당 문제는 지문에서도 알 수 있듯이 메모리포렌식 문제입니다. 해당 문제는 volatility2를 이용해서 풀이했습니다. imaginfo 플러그인을 통해서 해당 프로파일(Win7SP1x64)을 확인했습니다. 다음으로 pslist를 통해서 실행된 ps를 확인해봤습니다. 해당 리스트를 보면 notepad.exe와 firefox.exe가 실행되고 있고 저는 이 두 ps중에서 플래그를 얻을 수 있다고 생각을 하였고 문제를 풀이하였습니다. 먼저 방문과 관련된 기록을 확인하기 위해서 iehistory라는 플러그인을 이용해서 확인을 해 봤습니다. 해당 플러그인이 firefox와 관련된 정보도 나타내는지는 모르겠지만 일단 한번 확인해봤습니다. 설마?라는 생각.. CTF/Space Heroes CTF 2023. 4. 24. [Space Heroes CTF] - [for] My God, it's full of .- ... -.-. .. .. write up 다음 문제입니다. 해당 문제는 wav파일이 제공됩니다. 그렇게 계속 풀이했듯이 이번에도 audacity를 통해서 풀이했습니다. 해당 파일도 스펙트로그램을 통해서 파일을 분석해봤습니다. 근데 처음에는 이게 뭘 의미하는 거지? 라고 생각을 하고 문제 점수도 어려운 문제에 속하는 점수여서 코드를 짜서 풀어야하는 문제인갑다. 하고 문제를 포기했었는데 근데 이게 가면 갈 수록 문제 풀이수가 많아지더라구요..? 그래서 쉬운 문제인가 싶어서 다시 해당 문제를 접근했습니다. 해당 사진을 보고 바로 풀이하셨다면 엄청난 고수이실 듯 합니다. 해당 사진을 보시면 저 짧은게 0 긴게 1로 추측해서 binary를 string으로 바꾸면 될 것 같습니다. 이 때 동아리방에서 문제를 풀이하고 있었는데 23학번 친구랑 같이 문제를 .. CTF/Space Heroes CTF 2023. 4. 24. [Space Heroes CTF] - [for] space_stream write up 바로 다음 문제입니다. 해당 문제 파일이 vhd파일이기 때문에 바로 FTK Imager을 통해서 해당 파일을 열어봤습니다. 왼쪽 사진은 디스크를 마운트한 사진이고 오른쪽 사진은 FTK Imgaer을 통해서 열어본 사진입니다. 잘 살펴보면 오른쪽 사진에는 stream5.zip이라는 파일이 있고 왼쪽 사진에는 stream5.zip이 존재하지 않는 것을 확인할 수 있습니다. 그래서 해당 FTK Imgaer로 확인한 stream폴더를 추출해서 확인해봤습니다. 그러면 위 사진처럼 stream5.pdf가 있는 것을 확인할 수 있습니다. (해당 사진은 제가 압축을 푼 사진입니다.) 위에 사진을 보면 알 수 있듯이 pdf파일이 암호가 걸려있는것을 확인할 수 있습니다. 그래서 저는 저 streamN.jpg에서 각각 스테.. CTF/Space Heroes CTF 2023. 4. 24. [Space Heroes CTF] - [for] Félicette write up 바로 다음 문제입니다. 다음은 pcap문제 입니다. 제가 또 최근에 네트워크 포렌식 문제를 핵테온 예선 끝나고 공부를 조금 했어서 자신감을 가지고 해당 문제를 접근했습니다. 해당 패킷 파일의 제목에서도 힌트를 얻을 수 있듯이 해당 데이터 영역을 보면 jpg파일로 추측되는 hex값이 한 바이트씩 보내지는 것을 확인할 수 있습니다. 해당 부분을 추출하기 위해 tshark를 이용해서 해당 파일을 추출했습니다. 제가 사용한 코드는 tshark.exe -r chall.jpg.pcap -T fields -e data > a.txt 입니다. data영역에 해당하는 필드에 데이터를 전부 추출해서 a.txt에 저장을 해주었습니다. 위 사진처럼 해당 데이터가 추출되었고 아래와 같이 모든 내용을 복사해서 HxD에 붙여넣기를.. CTF/Space Heroes CTF 2023. 4. 24. [Space Heroes CTF] - [for] A New Hope write up 다음 문제입니다. 해당 문제는 pptx파일이 제공됩니다. 이제 해당 ppt파일을 열어보면 아래와 같이 ppt가 있는것을 확인할 수 있습니다. 이제 해당 ppt파일을 뒤죽박죽 막 하다보면 아래와 같이 깨진 이미지 파일이 있는 것을 확인할 수 있습니다. 그래서 해당 파일을 추출하기 위해서 ppt파일을 압축파일 형태로 열어줬습니다. 해당 ppt파일은 압축파일 형태로 해당 ppt 페이지에 설정 및 이미지 기본 값들이 설정되어 있기 때문에 해당 파일을 압축파일로 열면 사진을 추출할 수 있습니다. 이렇게 해당 값들이 있는 것을 확인할 수 있고 media 부분에서 해당 이미지 파일을 추출해서 확인할 수 있습니다. 해당 파일을 추출해서 hex값을 통해서 확인해보면 헤더시그니처 부분이 깨져있는 것을 확인할 수 있습니다... CTF/Space Heroes CTF 2023. 4. 24. [Space Heroes CTF] - [for] Time Leap write up 다음으로 포렌식 문제입니다. 해당 대회 수준이 저희 학교에서 경찰대, 경기대랑 같이 개최하였던 내부 해킹대회 수준보다 조금 더 어려운 수준의 문제들로 구성되어 있었지만 게싱문제가 주로 이루어져 있어서 그렇게 열심히 풀이하지는 않았습니다. 그래도 쉬운 문제들이 많이 있어서 처음으로 CTF를 풀이하시는 분들에게는 좋은 대회인 것 같았습니다. 다음과 같은 문제입니다. 해당 문제를 다운로드하면 아래와 같이 Windows IsoFile이 제공됩니다. 해당 문제를 다운로드하여서 바로 FTK Imager을 통해서 열어줬습니다. 이렇게 다음과 같이 FTK Imager을 통해서 열어보면 flag.gif라고 삭제된 파일이 복구되어 있는 내용이 있는 걸 확인할 수 있습니다. 해당 내용을 살펴보면 아래와 같이 플래그를 얻을 .. CTF/Space Heroes CTF 2023. 4. 24. [CyperHavoc CTF] - [for] The Cryptic Sound write up 시험기간이여서 CTF를 풀지 못 했었는데 리프레쉬할 겸 대회를 보니 해당 대회가 진행중이여서 1시간 정도 풀이를 했습니다. 1시간동안 풀이하느라 많은 문제는 풀지 못했지만 그래도 풀이했던 문제들을 소개해드리도록 하겠습니다. 참고로 지갑 찾았습니다 ㅎㅎ 제 과잠 안에 있더라구요 해당 문제를 다운로드하면 WAV파일이 하나 주어집니다. WAV파일을 하나 주어지고 가장 쉬운 문제였고 많이 풀려있었으니 지금까지 소개드린 문제인 audacity를 이용한 문제라고 생각을 하여서 바로 audacity를 통해서 열어줬습니다. 해당 파일을 열어주면 다음과 같이 내용이 있고 누가봐도 모스부호라는 것을 알 수 있습니다. 처음에는 저도 이런거를 잘 몰랐지만 문제를 풀다보니 다 비슷한 유형이여서 풀이 시간을 더 단축할 수 있는것.. CTF/CyperHavoc CTF 2023. 4. 20. 반응형 이전 1 다음
