S.W.F.S.

1팀 송보연 ctf-d 사이트의 저는 당신의 생각을 알고있습니다. 라는 문제를 풀어보려 한다. 문제에 주어진 Hint에 '플래그는 이미지 어딘가에 분명히 eXist'하다고 되어있는데 이중 X만 대문자로 되어있는것이 뭔가 수상쩍다. 이를 기억하고 문제를 풀어봐야겠다고 생각했다. 우선 저 logo.jpg파일을 다운받아서 열어준다. 그러면 이런 글씨가 있는 사진이 하나 나오는데, 사진이 나오는걸 보니 또 스테가노그래피를 이용하는 문제인거같다는 생각이 들었다. Image Steganography (incoherency.co.uk) 이 사이트를 이용해서 위 사진파일을 분석해 보았다. 이 hidden bits값을 조정하면서 확인해봐도 별 다른 이상이 없길래 HxD에디터에 넣어보려했고, 그 전에 혹시몰라서 속성값을 ..

3팀 이윤지 다양한 툴을 이용해 보고 싶어서 네크워크 문제를 풀어 보려고 한다. 문제에서 제공된 pcap 파일을 저장하고 와이어샤크로 열어 보았다. 와이어샤크를 사용해 본 적이 손에 꼽을 정도로 적어서 하나씩 천천히 보다가 처음 보는 프로토콜이 있어 자세히 보았더니 Hi Greg :)이라는 메시지가 보였다. 조금 더 내려 보다 같은 타입의 프로토콜을 살펴 봤더니 이번에는 Hi Betty라는 메시지를 볼 수 있었다. Betty는 문제에서 언급된 사람이기 때문에 이 프로토콜을 중심적으로 보면 뭔가 알아낼 수 있을 것 같아 수업 시간에 배웠던 필터링을 사용해 IRC만 보이게 했다. (IRC란 Internet relay chat의 약어로 인터넷 실시간 대화를 의미한다고 한다.) PRIVMSG 패킷이 메시지를 담..

3팀 이윤지 문제에서 주는 파일을 저장해 보면 확장자가 없는 파일이 저장된다. 어떤 파일인지 알아보기 위해 헥스 에디터로 확인해 보았다. JPG의 헤더 시그니처 같은데... 내가 알고 있는 시그니처는 [FF D8 FF E0]이라서 검색을 해 보았더니 같은 JPG 파일이지만 디지털 카메라인 것을 구분해 주기 위해서 [FF D8 FF E1]을 사용한다고 한다. 확장자로 jpg를 달아 주기 전에 헥스 에디터를 쭉 보다가 마지막 부분에 flag가 언급되어 있길래 혹시나 하는 마음에 입력을 해 보았다. 당연히 아니었다. ㅎㅎ 아마 플래그의 형식을 알려 준 것 같기도 하다. 확장자로 jpg를 적어 주니 아래와 같은 사진이 떴다. 흐리게 qr 코드가 보이는 것 같아서 qr 코드를 복구해야 한다고 생각해 사진을 확대해..

4팀 김기연 suninatas의 패스워드를 찾으면 되는 것 같다. passwd는 사용자 정보 파일, shadow는 패스워드 파일 suninatas:x:1001:1001::/home/suninatas:/bin/sh 1) 사용자 계정명 suninatas 2) 패스워드 x => shadow에 암호화 되어있다는 의미 3) UID 1001 4) GID (Group ID) 1001 5) 사용자 홈 디렉토리 /home/suninatas 6) 사용자 기본 쉘 /bin/sh $6$QlRlqGhj$BZoS9PuMMRHZZXz1Gde99W01u3kD9nP/zYtl8O2dsshdnwsJT/1lZXsLar8asQZpqTAioiey4rKVpsLm/bqrX/:15427:0:99999:7::: 1) 6 => SHA-512 2) sa..

6팀 박지혜 Q. ctf-d : 천 마디 말보다 사진 한 장... http://ctf-d.com/challenges#%EC%B2%9C%20%EB%A7%88%EB%94%94%20%EB%A7%90%EB%B3%B4%EB%8B%A4%20%EC%82%AC%EC%A7%84%20%ED%95%9C%20%EC%9E%A5%E2%80%A6 다음과 같이 zip파일과 함께 문제가 있다. 힌트는 grep이므로 리눅스를 사용해야 할 것 같다. * grep (Global Regular Expression Print) 텍스트 파일에서 원하는 문자열이 들어간 행을 찾아 출력하는 명령어로, 대부분의 파일에서 원하는 내용만 따로 출력하거나 저장할 수 있다. 우선 파일을 다운받고 리눅스에서 열어보도록 하자. 알집 파일안에 수많은 텍스트 파일..

4팀 김소희 문제를 클릭하면 아래와같은 화면이 나온다. 다운받았지만 파일 확장자가 없어서 HxD로 열어보았다. 검색해보니 zip파일이어서 확장자를 바꿔주었다. http://forensic-proof.com/archives/300 압축을 푸니 png 파일이 있었다. 열어보니 파일 형식이 지원되지 않는다고 뜬다. HxD로 열었더니 png 파일시그니처가 아니여서 바꾸어주었다. 89 50 4E 47 이미지를 열었더니 플래그가 나왔다. FLAG : easyctf{troll3d}

4팀 김기연 공격자가 웹페이지 소스코드를 유출한 시간을 구하라고 한다. 압축을 풀면 위와 같은 폴더들을 확인할 수 있다. 웹페이지 소스코드를 유출한 시간을 구하라고 해서 weblog 폴더를 먼저 확인했다. weblog\access.log 파일 하나가 있었는데, 플래그 형식이랑 맞는 것 같아서 플래그는 여기서 찾으면 될 것 같다고 생각했다! 리눅스 로그파일 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=joonee14&logNo=220349139519 1) utmp : 현재 로그인한 사용자 상태 정보를 담고 있는 로그파일 명령어) w, who, finger 2) wtmp : 성공한 로그인, 로그아웃 및 시스템의 boot, shutd..

3팀 김주미 이번 문제는 사진 속의 키를 알아내는 것이다. 제공된 사진에서는 자가 가리고 있어서 키를 알 수가 없다... 속성값을 확인해보아도 이상한 점은 없었다. 헤더 시그니처도 FF D8 FF E1로 jpg 확장자의 것과 일치하고, 푸터 시그니처도 FF D9로 jpg 확장자의 것과 일치했다. 여기서 푸터 시그니처란? 파일 시그니처는 파일의 시작을 알리는 헤더 시그니처와 끝을 알리는 푸터 시그니처로 나뉜다. 푸터 시그니처는 jpg와 png 확장자만이 갖고 있다. 다만 헥스 에디터로 열어봤을 때 과하게 길이가 길다는 점이 좀 이상한 부분이었다... 그래서 한 파일 내부에 다른 파일들을 끼워넣은 건 아닌지 JPG의 헤더 시그니처인 FF D8 FF E1을 검색해보았더니 다음처럼 15개의 검색 결과가 나왔다...