2022/Write-Ups
-
-
[ctf-d] Find Key(Image)2022/Write-Ups 2022. 7. 28. 19:33
3팀 이윤지 png 파일을 저장하면 이러한 사진이 뜬다. 헥스 에디터를 사용해 봤는데 시그니처에는 문제가 없었다. 스테가노그래피 복호화 사이트에서 복호화를 해 봐도 얻을 수 있는 건 없었다. 그래서 사진을 잘 살피다 뒤에 무늬가 반복된다는 사실을 알 수 있었다. 윗 줄부터 흰색은 0 검은색은 1로 보면 01010011 00110100 01001110 01000011 01001000 00110000 이진수를 아스키 코드로 변환해 주면 S4NCH0가 나온다. 문제에서 키의 형식이 md5라고 해서 md5 암호화를 해 주었다. 성공~!
-
[N0Named] 길에서 주워온 만두2022/Write-Ups 2022. 7. 28. 19:07
3팀 이윤지 저장한 zip 파일의 압축을 풀면 png 파일과 txt 파일이 나온다. txt 파일에는 문제와 똑같은 말이 적혀 있다. 마트료시카 사진인 것을 보면 사진 내부에 또다른 사진이 숨어 있을 것 같다. 혹시 몰라 헥스 에디터를 사용해 봤는데 시그니처에는 문제가 없었지만 비밀번호가 1234인 것을 알려 주는 문장이 있었다. 전에 다른 스테가노그래피 문제를 풀 때 openstego를 사용해서 푼 적이 있는데 그때 비밀번호를 사용했던 것이 생각나서 openstego로 추출해 보았다. medium.png가 추출되었다. 사진은 big.png와 다를 게 없어 보인다.... 한 번 더 추출했더니 small.png가 추출되었다. 역시 사진은 다를 게 없다.... 혹시 더 숨겨져 있는 것은 아닐까 싶어 한 번 더..
-
[ctf-d] 이벤트 예약 웹사이트를 운영하고...2022/Write-Ups 2022. 7. 27. 22:25
3팀 김주미 제공된 파일로 공격자가 웹페이지 소스코드를 유출한 시간을 밝혀낸다. 파일은 다음과 같고 하위폴더의 내용들은 다음과 같다. 일단 history를 봐야 언제 침해당했는지 알 수 있을 듯? accountes group, history, last_R, lastlog, passwd, shadow, w file fls_r_m, macmactime_b network arp, lsof, netstat_an osinfo date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a process crontab, ipcs_u, lsmod, ps_eaf, pstree_a weblog access.log 히스토리 내역은 다음과 같다. /var/www/upload/..
-
[ctf-d] 판교 테크노밸리 K기업에서...2022/Write-Ups 2022. 7. 27. 22:20
3팀 김주미 사용자가 가장 많이 접근했던 사이트와 마지막 접근 시간을 알아보는 문제… 제공파일로는 User 폴더를 받는다. 아마 용의자는 유저네임이 7ester인 듯…? 그에 관한 유저 폴더 전체인 듯 하다 사용자가 접근하는 브라우저는 \AppData\Local 디렉토리에서 찾을 수 있다. 크롬을 사용한다면 Google Chrome : \AppData\Local\Google\Chrome 디렉토리가 존재할텐데 아무것도 없는 걸 보면 기본 Internet Exploror를 사용하는 듯. 기본적으로 웹 사용 기록은 웹 캐시에 저장된다. 그리고 Internet Exploror를 사용할 때의 디렉토리는\AppData\Local\Microsoft\Windows\WebCache 이다. 분석 툴은 IE10Analyer..
-
[Suninatas] forensic - 30번2022/Write-Ups 2022. 7. 27. 02:31
6팀 최민영 Suninatas forensic 30번 문제 풀이 시작 문제 파일을 다운받으니 .dat 파일이 존재하여 volatility를 사용하여 문제를 풀어보겠다. (Window 10에서 Volatility 사용) - Volatility 명령어 참고 글 - https://schmidtiana95.tistory.com/entry/Volatility Volatility 플러그인 볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습 schmidtiana95.tistory.com volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaT..
-
[crescendo] Event Log Problem 012022/Write-Ups 2022. 7. 26. 23:52
5팀 김세연 도메인 컨트롤러가 침해당했고, Security 이벤트 로그를 통해 정보를 확인하라고 한다. 이벤트 로그는 더블클릭하면 이벤트 뷰어로 열리게 된다. 1번부터 순서대로 살펴보자. 가장 먼저 사용된 일반 사용자 계정의 이름을 구하라고 한다. 이벤트 로그에서 기록된 로그들은 각각 이벤트 ID를 할당받기 때문에 일반 사용자 계정 생성의 이벤트 ID를 찾아보자. ID가 4720임을 확인할 수 있다. ID를 아니까 현재 로그 필터링을 통해 필터링을 해보자 가장 먼저 생성된 것을 확인하면 되므로 두번째 이벤트 로그의 계정 이름을 확인해준다. 그럼 1번의 답은 JDazz인 것을 확인할 수 있다. 2번은 해당 일반 사용자 계정의 생성 시점을 구하라고 한다. 포맷은 YYYY-MM-DD hh:mm:ss (UTC+..