WarGame/DigitalForensic with CTF
[DigitalForensic] with CTF Three Thieves Threw Trumpets Through Trees…
자료로 등록된 image1.jpg를 다운로드 해보자 일단 사진파일이 아니거나 깨진거같다. hxd로 확인해보자 RIFF WAV로 시작한다. 파일 시그니처 모음을 확인해보니 이는 .wav파일이다.(음성파일) 확장자를 변경해서 들어보면 배속한 듯한 소리가 난다. 일단 배속을 느리게 해야겠다. 포렌식문제에서 음성 파일 조작에 주로 사용되는 Audacity를 사용하자 Home Welcome to Audacity Audacity® is free, open source, cross-platform audio software for multi-track recording and editing. Audacity is available for Windows®, Mac®, GNU/Linux® and other operati..
[DigitalForensic] with CTF Find Key(moon)…
자료파일인 moon.png은 다음과 같은 png파일이다. 와우 아름다운 달이다. 먼저 hxd로 뜯어보자 위에는 특별한게 없지만 맨 아래쪽을 보자 png파일은 IEND로 종료가되어야한다. 위 사진에서는 64884오프셋에서 파일은 종료가 되어야하는 것이다. 그러나 가장아래 64885번부터 50 4B 03 04로 시작하는 일련의 문자열이 보인다. 이를 docx와 zip의 헤더시그니처로 그대로 옮겨붙여서 아래와 같이 flag.zip으로 만들자. 그러나 압축해제를 시도하면 비밀번호가 걸려있다고 한다. 문제를 풀면서 만났던 문자열은 따로 없으니 moon을 입력해보자
[DigitalForensic] with CTF Find Key(butterfly)…
자료로 있는 butterfuly.png는 다음과 같은 사진이다. 사진을 hxd로 열어보았다. xml로 된 메타데이터에 Adobe와 같은 정보가 있는 걸로 보아서 사진의 픽셀값들이 수정된 것을 예상할 수 있었다. 사진을 자세하게 보기 위해서 forensically 에서 자세하게 사진을 열어보았다. Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch 다음과 같은 key를 사진에서 찾을 수 있었다.
[DigitalForensic] with CTF 플래그를 찾아라!…
증거파일로 제시한건 raw확장자의 메모리 덤프파일이다. 메모리분석툴인 volatility를 활용해서 분석예정이긴 한데, 위에 사용할 명령어가 둘다 써있다. 일단 profile을 64bit의 WIN10으로 보고 메모리덤프를 떠서 2012와 4092번의 프로세스를 덤프뜨란다고한다. 한번해보자 필자는 volatility 3을 활용하였기에 memdump를 쓰지 않았다. 어영부영 뜨고 나면 메모장프로세스 한개와 그림판 프로세스가 나온다. 그림판 프로세스를 또다시 memmap 플러그인으로 dump 뜬다음 나온값을 gimp로 열어서 offset를 찾아주었다.(사실 필자는 검색으로 다른 이들의 해설을 보았는데, 아무리 생각해 봐도 메모장 프로세스에서 적당한 높이 / 너비 / 오프셋을 찾을 수 있을거 같은데, 모르겠다...
[DigitalForensic] with CTF 우리는 이 파일에 플래그를…
flag를 확인해 보자 flag는 46바이트의 파일이다. 확장자가 지정되어 오지는 않았으니 어떤 파일이었나 먼저 확인하기 위해서 시그니처를 확인하자 hxd로 열어보는 것이다. 파일 시작은 1F 8B 08로 시작한다. 시그니처를 검색해 보자 필자는 아래의 포스팅에서 자주 도움을 받는다. 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com Gzip으로된 확장자다. flag의 파일명을 flag.gz로 변경하고 압축해제를 수행하자 동일한 이름의 flag라는 파일을 얻을 수 있고 해당 파일은 hxd결과 다음과 같다.
[DigitalForensic] with CTF 사진 속에서 빨간색이…
hidden.png를 열어보자 어이구~! 귀여운 강아지가 있다. 문제는 사진속에서 빨간색이 이상하다는 이야기를 한다. png사진은 한 픽셀에 R값, G값, B값, Alpha값을 최대 0~255값으로 종합하여 저장한다. 가령 예를 들어 RGBa값이 (255,0,0,0)이라면 새빨간 픽셀이 되는것이다. 그러면 사진을 RGB나 a값을 특정하게 스펙트럼이나 프리즘으로 분리해서 볼 수 있지 않을까? 아래있는 StegSolve tool을 이용해서 사진의 채널을 넘겨가면서 확인해보자 Red Plane 0에서 위와같은 KEY를 확인할 수 있었다.