WarGame/DigitalForensic with CTF
[DigitalForensic] with CTF basisSixtyFour…
문제 제목부터가 base64를 이용한 문제임을 암시한다. 자료를 다운로드 받아서 Password를 이용해서 열어보면 다음과 같은 사진을 얻을 수 있다. 사진은 정상적으로 open되지는 않으니 HxD로 검사해보자 문자열이 base64 인코딩된 값으로 보인다. 이를 decoding하면 png파일의 bytes열을 확인할 수 있다. png로 저장해서 확인하자 import base64 if __name__=="__main__" : str_val = "iVBORw0KGgoAAAANSUhEUgAAAPoAAAD6CAIAAAAHjs1qAAAABmJLR0QA/wD/AP+gvaeTAAAE5klEQVR4nO3dQa7qOBRAwdDq/W/59QqCZNrGDqdq+hHk8Y88uDHO6+/v74KGf3ZfAHyP3AmROyFyJ..
[DigitalForensic] with CTF 뱀…
자료로 올라간 Forensic-3.zip을 열어보면 다음과 같은 mp3파일을 얻을 수 있다. 정상적인 재생을 불가하며, HxD로 열어보면 Hex값을 문자열로 입력한 느낌의 파일인것을 알 수 있다. Python으로 3A라는 바이트를 지우고 텍스트로 옮겨보니 다음과 같은 base64 인코팅 문자열을 얻을 수 있었다. 디코딩을 2~3번정도 하니 다음과 같은 문자열을 얻을 수 있었다. #!/hfe/ova/clguba sebz fgevat vzcbeg znxrgenaf xb = "nvbhHa" pbx = "@195hA" xbpbxvy = znxrgenaf(xb, pbx) fghe ="\0k54\0k68\0k65\0k20\0k46\0k4p\0k41\0k47\0k20\0k2q\0k3r\0k20\0k6o\0k55\0k..
[DigitalForensic] with CTF Hash…
자료를 다운로드 받고 문제에 있는 Password로 zip파일을 압축해제 하자. 두개의 파일을 다운로드 할 수 있다. wallpaper.jpg의 사진에서 이상한점을 찾아보던 도중 메타데이터에서 base64의 문자열을 얻을 수 있었다. OWIxYTgxZmUwYzcyMGMwZGUyMWQ4MTVlNDM1ZDI5MWQ= 해당문자열을 디코딩한 결과 '9b1a81fe0c720c0de21d815e435d291d'라는 문자열이 나왔고, 길이를 보아하니 MD5 해시인거 같아서 다음의 홈페이지에서 decoding을 시도했다. MD5 Online | Free MD5 Decryption, MD5 Hash Decoder www.md5online.org 같이 다운로드된 파일 clue.zip또한 암호가 걸려있다. j0k3r를 암호..
[DigitalForensic] with CTF 모두 비밀번호를 txt파일…
자료를 다운로드 받아보면 Rich Text Format을 구할 수 있다. Rich Text Format은 글자의 속성까지 기억하는 포멧으로 MS에서 만들었다. 자세한 점은 아래의 위키를 참고하고, 우리는 문제를 조금 더 자세하게 보자 Rich Text Format - Wikipedia From Wikipedia, the free encyclopedia Jump to navigation Jump to search Document file format developed by Microsoft The Rich Text Format (often abbreviated RTF) is a proprietary[6][7][8] document file format with published specification d..
[DigitalForensic] with CTF DOS 모드에서는…
사진을 다운로드 받아보자 우왕 멍해보이는 아이이다. HxD로 열어보자. DOS 모드에서는 이것을... 이라는 말을했다. PE파일 exe의 시작부분인 This program cannot be run in DOS mode를 염두한 이야기 같다. DOS를 검색해보자 역시.. MZ로 시작되는 곳 부터 맨 마지막을 잘라서 test.exe로 저장하고 실행시켜보자 찾을 수 있었다.
[DigitalForensic] with CTF 그림을 보아라…
그림을 보자 아카이브 파일경로를 하나 안내하고 있다. 6개의 사진과 Thumbs.db가 보인다. 다운로드 받아보면 각각 FLAGIS로 시작하는 사진을 얻을 수 있다. 사진에 무언가가 숨겨져 있기는 한데, 우선 같이 동봉되어서 온 Thumbs.db도 같이 보자 Thumbs viewer로 열어본 결과 위에 6.jpg말고도 여러개의 사진이 썸네일에 저장되어있는것을 확인할 수 있다. 전부 save 해주자 찾았다. Flag는 XP의 취약점을 이야기한다. 윈도우는 자동적으로 사진파일에 대해서 미리보기 이미지를 데이터베이스화 해둔다. 이를 이용한 취약성을 논하는 거 같다.