S.W.F.S.

3팀 정다빈 사진을 다운로드 받았더니 qr코드 같은 사진이 나왔다. 빈 공간에 네모가 있어야하는데 없는 qr코드이다. 구글링을 통해 Decoder 사이트를 찾았다. 원본을 넣어주면 나오지 않는다. 그림판을 통해 사진을 반전시켜주고 다시 해봤다. flag 값 : 1t_S_s0_cr3atIv3

3팀 심유나 먼저 사진을 열어보니 바탕화면인데 창이 3개 띄워져 있는 사진이 나왔다. 도저히 어떻게 손을 대야 할 지 몰라서 구글링을 해보았다.. 사진 오른쪽 하단에 보면 그림판은 그림판인데 채우기 부분이 선택되어 있는 걸 볼 수 있다. 일단 똑같이 사진을 그림판으로 열었다. 그리고 채우기로 검정색을 채워주면 이렇게 글자(플래그)가 보이는 걸 알 수 있다. SECCON{the_hidden_message_ever}을 플래그 값으로 입력하면 해결~!

3팀 심유나 문제에는 키 형식이 주어져 있고, 약간의 힌트(base64)도 보인다. 먼저 스테가노그래피와 속성을 살펴보았는데 역시나 특별한 건 없어서 hxd로 열어보았다. 문제에 키 format이 BITCTF{(key)}라고 나와있어서 BITCTF를 Base64로 encode해보았다. QklUQ1RG가 나와서 텍스트 문자열로 검색을 해보았다. 뒤 문자열까지 포함하여 플래그 값으로 예상된다. 그 부분을 복사해서 이번에는 DECODE를 해보았다. 결과는 BITCTF{S5 0014+81} 이렇게 나왔다. 플래그 값으로 입력하면 해결!

3팀 이윤지 이리저리 클릭을 해 보다가 가장 왼쪽에 작게 적혀 있던 O에 마우스를 올리고 클릭을 하면 글자가 옆으로 조금씩 밀린다는 것을 알게 되었다. 페이지 소스를 확인해 봤더니 onclick 부분을 유심히 봐야 할 것 같다. O 이걸 해석해 보자면... 글자를 한 번 누를 때마다 1 픽셀씩 움직이고 1600 픽셀이 되었을 때 go에 현재 위치를 담아 전송하게 되는 코드라고 한다. 즉 글자를 1600 픽셀 움직이면 문제가 풀리는 듯! 개발자 도구를 이용해 1599까지 이동을 해 주고 마지막 한 번을 마우스로 클릭을 했더니 간단하게 문제가 풀렸다! 성공!

1팀 김나연 outlook.exe의 덤프파일을 strings 파싱한 파일(strings_3196.log)에서 메일 원본을 찾아보자 메일 원본은 URL을 찾으면 됨 http://식으로 검색 결과가 많으니 exe, pdf, docx, xlsx 형식으로 결과값 중에서 다시 검색 strings_3196.log에서 'http://'로 검색한 후 결과 값에서 다시 '.exe' 로 검색했을 때 결과가 3개 나온다. 검색 결과를 포함한 줄로 가보니 html 형식으로 메일 원본으로 보이는 내용을 찾았다. 내용을 메모장으로 옮겨서 보면 아래와 같다. VPN software인 것처럼 속여 첨부파일을 보낸 것으로 추정된다. 태그 안 첨부 파일은 AnyConnectInstaller.exe이다. flag AnyConnectIns..

1팀 김나연 제공된 파일 확장자가 vmss다. vmss파일이 뭔지 찾아봤다. vmss파일 (VMware Suspended State File) VM웨어 일시 중단 된 상태일 때 상태를 저장한 파일 VM이 중지된 위치에서 VM을 재개하는 데 사용됨. 우선 volatility imageinfo 명령으로 운영체제를 식별 분석하기 위해 미리 명령어.log 파일 형식으로 저장해둔다. pslist 결과값을 봤을 때 메일 관련된 프로세스를 찾아보니 OUTLOOK.EXE를 찾았다. PID는 3196 outlook.exe를 메모리 덤프해서 메일 원본을 보자 volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 memdump ..

3팀 이윤지 dump1.raw.lzma 파일의 압축을 푸니 dump1.raw 파일이 나왔다. raw 확장자를 가지는 파일은 메모리 덤프 파일이기 때문에 volatility를 이용하려고 한다. (volatility를 사용해 풀었던 문제: https://ziee.tistory.com/83) 이 메모리 파일의 profile은 Win10x64인 것을 imageinfo 명령어를 통해 알 수 있다. pstree를 통해 확인해 보니 다른 시스템 프로세스들보다 눈에 띄는 그림판 mspaint.exe의 흔적이 있다. 프로세스 PID는 4092인 것을 확인할 수 있다. mspaint.exe를 덤프 해 보아야 할 것 같다. (참고: https://aaasssddd25.tistory.com/55) 4092.dmp가 추출되었다..

2팀 김민주 문제는 다음과 같다. 키의 포맷은 md5이며 128비트 암호화 해시 함수임을 알 수 있었다. 먼저 문제에서 주어진 텍스트 파일을 열어보니 프랑스어가 나왔다. 해당 파일을 HxD 파일에 열어보니 공백으로 보이는 수상한 부분을 볼 수 있었다. 구글링을 HxD로 열었을 때 보이는 공백 부분은 텍스트 파일 안에 메시지를 숨긴 whitespace steganography임을 알았고, http://darkside.com.au/snow/index.html The SNOW Home Page The SNOW Home Page Whitespace steganography The program SNOW is used to conceal messages in ASCII text by appending whites..