WarGame/DigitalForensic with CTF
[DigitalForensic] with CTF 저는 이 파일이 내 친구와…
요즈음 환율이 올라서 4096달러면 조금 비싸다. 자료로 주어진 secret을 다운로드 받아서 확장자는 안보이니, 시그니처 확인을 위해서 HxD로 열어보자 ZIP파일의 시그니처(50 4B 03 04)를 가지고 있다. 일단 .zip으로 바꾸어 열자 사진을 얻을 수 있는데, 사진이 깨져있다. 이 또한 HxD로 열어보면 특이한 점을 발견할 수 있다. PNG파일의 시그니처가(89 50 4E 47) 없다!; 이거 붙여준 후 사진을 보도록 하자 위와 같은 KEY가 포함된 사진을 확인할 수 있었다.
[DigitalForensic] with CTF 천 마디 말보다 사진 한 장…
자료를 다운로드 받아보면 data.zip이라는 압축파일안쪽에는 1000개의 파일이 진짜로 들어있다. 하나를 예시로 열어보면 큰 의미가 없는 문자열로 가득차있다. 여기서 문제는 사진을 찾으라는 것이다. 한가지 좋은생각이 들었는데, 모두 유니코드상에서 읽을 수 있는 글자들로 이루어져있다는 것이다. 다만 JPG는 유니코드로 표현이 안되는 문자도 들어있다. 예를들면 \xff 류들말이다. python으로 모두 읽어들이다가 에러튀는곳을 찾아보고 결과를 얻었다. import os if __name__=="__main__" : items = os.listdir(".") res_dict = dict() for i in items : try: with open(i,"r",encoding="CP949") as f: res_..
[DigitalForensic] with CTF Wota…
자료파일을 열어보자 알집파일로 password에 적인 암호가 걸려있다. 암호를 풀면 2개의 파일을 확인할 수 있다. cwew.jpg파일의 속성을 확인하면 여러가지 값들을 확인할 수 있다. 제목 : W0t4 Sy4r1ah 주제 : QW5kYSBrdXJhbmcgYmVydW50dW5nIDp2 태그 : Q29iYSBsYWdpIDp2; 설명 : [HEX Value] 일단 생긴게 base64 encoding 값이다. 주제와 태그를 decode하면 각각 다음과 같은 문자가 나온다. 주제 : Anda kurang beruntung :v 태그 : Coba lagi :v 인도네이사어로 "당신은 운이 없습니다"와 "다시 시도하십시오"라고 한다(감사합니다 구글) 설명의 HEX를 문자열로 보면 다음과 같다. 요놈은 base64..
[DigitalForensic] with CTF 호레이쇼가 플래그를 보며…
파일을 확인해보면 호레이쇼 반장님이 우리를 보고 있다. 눈에 무엇인가 숨겨져 있는거 같은데, forensically를 통해서 보도록 하자 그럼에도 불구하고 특별한점은 보이지 않는다. 반장님의 눈에 무언가가 숨겨져있다는 의심에 착안해서 파일을 HXD로 까보면 특이한 점 하나가 눈에 띈다. 바로 시그니처(FF D8)이 이상하게 많다는거 뭐 사실 이상하게 많은정도는 아니고 3개정도인데, 이거 python으로 푸터까지(FF D9) 인식해서 추출해보자 코드는 다음고 같다. if __name__=="__main__" : start = b"\xff\xd8" end = b"\xff\xd9" target_list = list() with open("zoomIn_3a3f6e35934021eca75b0abde70333a6...
[DigitalForensic] with CTF 원래 의미가 없는 것들도…
자료로 받은 spam.txt를 열어보자 다음과 같은 TXT파일이 있다. Dear Professional ; Especially for you - this cutting-edge intelligence ! If you no longer wish to receive our publications simply reply with a Subject: of "REMOVE" and you will immediately be removed from our club . This mail is being sent in compliance with Senate bill 2216 ; Title 9 ; Section 304 ! This is not a get rich scheme ! Why work for somebody e..
[DigitalForensic] with CTF splitted…
자료인 splitted.7z를 확인해보자 패킷파일(pcap)파일이 들어있다. wireshark로 열어보자 짧은 TCP 대화스트림이 보인다. 어떤 프로토콜이 사용되었는지를 우선 확인해보자 [Statistic] -> [Protocol Hierachy]이다. 우선 HTTP가 주로 사용되었고, Media가 전송되어있다. 아마 문제가 splitted인것을 보면 전송된 Media가 split되어 전송되었을 것이다. 역시 206 Partialy Content가 중간중간 보인다. 이를 합쳐야한다. Wire Shark의 Export object로 HTTP된 것들을 보면 flag.zip을 여러개 찾을 수 있다. Content-Range의 순서를 유념하면서 flag.zip을 각각 저장해서 hxd로 이어붙이자 열심히 이어붙인..