S.W.F.S.

3팀 김주미 다음처럼 회색 사진 부분을 치우면 진짜 플래그가 있을 것처럼 보이는 사진이 주어진다. 겹친 레이어를 삭제할 수 있는 툴이 있을까? 그것보다는 사실 파일명부터가 힌트를 주는 듯 하다... just_open_it.jpg면 대놓고 열어보라는 거 아닌가?? HxD로 파일을 열어보니 기이한 문자열이 많았다... 전부 살펴보기에는 파일 길이가 꽤 되어서 플래그 형식인 'ABCTF'를 검색해줬다. 정말 간단하게 키가 나왔다... 초반 문제라서 난이도가 입문용으로 쉽게 해놓은 듯?? 확실히 다른 분야보다 Multimedia 범주에 있는 초반 문제가 쉬운 것 같다. key: ABCTF{forensics_1_tooo_easy?} 해결! 처음부터 하나씩 올 클리어를 목표해보려고 했는데 그냥 다음부터는 난이도가 ..

3팀 김주미 제공받은 파일은 다음과 같다. 깨진 부분이나 지워진 것처럼 보이는 부분도 없고 채도~명도가 극명하게 갈리는 것도 아니라 스태가노그래피를 사용한 것인지는 두고 봐야할 것 같다. 만약 스태가노그래피를 사용해 이미지 자체에 플래그를 숨겨놓은 것이라면 명도를 확 올려놓은 중앙 윗부분에 나타날 것으로 예측해본다! 속성이나 헥스 코드 값에는 이상이 없었다. 코드가 좀 길게 보여서 헤더 시그니처를 검색해보았지만 다른 파일을 숨겨놓은 건 아니었다... 그럼 아마 스태가노그래피일까 해서 사이트에 넣어보았다. 저번에도 사용했던 스태가노그래피 해독 사이트이다. https://incoherency.co.uk/image-steganography/#unhide Image Steganography Each channe..

5팀 이은경 문제 풀이 NTLM 이란? 윈도우에서 제공하는 인증 프로토콜 중 하나이다. Windows NT의 모든 제품군에서 사용한다. 클라이언트 신원 확인을 할 때 네트워크를 통한 암호, 해시 암호를 전송하지 않고 Challenge-Response 방식을 사용한다. SMB 프로토콜에 하위호환성을 위해 내장되어 있다. hivescan Memory Dump로부터 CMHIVEs(Registry hives)의 Physical address를 찾아주는 명령어 hivelist hashdump hivelist에서 찾은 system(y 옵션), sam(s 옵션) hive offset값을 입력하여 확인한다. 문제에서 확인하라고 했던 관리자(Administrator) 계정의 해시 암호가 보인다. ophcrack으로 크랙..

4팀 김기연 문제에서 주어진 stego_50.jpg 확인 hxd로 시그니처를 먼저 확인해보았다. 헤더와 푸터 모두 있었지만, 푸터 시그니처 FF D9 이후로 ZIP 파일의 헤더 시그니처 50 4B 03 04와 푸터 시그니처 50 4B 05 06을 확인할 수 있었다. 이후로는 알 수 없는 문자열도 볼 수 있었다. steghide~~ 라는 수상한 부분도 있어서 검색해보니, steghide라고 이미지에 데이터를 숨기거나 추출하는 툴이라고 한다. jpg만 지원한다고 하는데, 이걸 사용한 것으로 생각되었다. steghide를 다운받고, steghide --help로 메뉴얼을 볼 수 있는데, 추출하려면 steghide extract -sf ~.jpg를 사용하면 된다고 한다. 시도해봤지만, passphrase가 있어..

4팀 김기연 steg.png 확인 Ghost in wires는 무슨 해커 추격 자서전(?)이라고 함.. 오..호.. 시그니처는 멀쩡했다. steg.png니까 스테가노그래피같다 https://stegonline.georgeom.net/upload StegOnline stegonline.georgeom.net 사용법을 몰라서 아무거나 누르다가 LSB Half 눌렀더니 플래그를 확인할 수 있었다. 해결!

5팀 이은경 문제 풀이 재부팅 후에도 계속 실행되기 위한 레지스트리가 무엇인지 알아야 될 것 같다. 윈도우가 시작될 때마다 악성코드를 실행할 수 있는 방법이 있는데, (지속 메커니즘) 그 중 가장 일반적으로 쓰이는 방법은 RUN 레지스트리 키에 항목을 추가하는 것이다. 참고1 가장 일반적인 run 레지스트리 키 목록이다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\..

6팀 장지은 [CTF-D] Multimedia파트의 '계속 주시해라!'를 풀어보도록 하겠습니다. 문제를 확인하겠습니다. 파일을 다운해서 확인해보니 아래와 같습니다. Hxd를 통해 확인해보니 JPEG 파일 시그니처는 맞았습니다. 그러나 푸더 시그니처 뒤에 문자열이 나오는 것을 확인하였습니다. strings.exe 파일을 통해 파일의 문자열을 확인해보았습니다. 잘 나오다가 마지막 부분에 Hxd 프로그램에서 확인한 동일한 문자열이 마찬가지로 있었습니다. '16bbee7466db38dad50701223d57ace8'을 시그니처에 넣어보도록 하겠습니다. 간단하게 문제를 해결했습니다. 성공~

6팀 장지은 [CTF-D] Multimedia파트의 '저는 이 파일이 내 친구와…'를 풀어보도록 하겠습니다. 문제를 확인하겠습니다. 파일을 다운받아보니 확장자를 알 수 없었습니다. Hxd 프로그램을 통해 파일 시그니처를 확인해보니 zip파일로 추정되었습니다. 확장자를 zip으로 변경하여 확인해보니 내부에 형식 지원이 되지 않은 사진 파일을 찾을 수 있었습니다. 마찬가지로 Hxd 프로그램을 통해 파일 시그니처를 확인해보니 앞부분이 지원진 것으로 보였습니다. 앞부분에 '89 50 4E 47'을 추가하여 사진을 확인해보았습니다. 위와 같이 플래그를 확인할 수 있었습니다. easyctf{troll3d}를 입력하여 문제를 해결하였습니다. 성공~