S.W.F.S.

4팀 김기연 이전 문제 풀이 https://ukkiyeon.tistory.com/203 악성코드에 인젝션된 프로세스 PID? AnyConnectInstaller.exe 실행 흔적으로 살펴보면 되지 않을까 ++ 전에는 outlook.exe의 PID를 확인하고, 이걸로 메모리 덤프(memdump)해서, strings.exe 실행했음. 추출된 strings에서 url을 찾아보려 검색했더니 AnyConnectInstaller.exe 관련 url이 나왔고, 피싱 메일도 발견했음. 즉, 죄다 strings로 해결했다 .. 이번에는 iexplore.exe를 procdump해서 실행파일 살펴보려 함. (해보라고 하셨다 ..) pslist.log에서 iexplore.exe PID 확인 -> 2996 ++ 전에는 memd..

3팀 정다빈 HxD로 열어보니 빈 공백이 있다. 구글링을 해보니 txt파일 공백에 데이터를 숨기는 whitespace 스테가노그래피 기법이 있다. whitespace 스테가노그래피를 풀 수 있는 tool인 SNOW.exe를 이용한다. 라고 나온다. SNOW.EXE로 txt파일을 풀었더니 Encore un coup des Anonymous 이 나온다. hash 값을 물어봤으니 hash값으로 바꾸어주니 flag 값이 나왔다. flag : 0faec26266432f508d05bf36285ea718

4팀 김소희 ​ 문제를 클릭하면 아래와 같은 화면이 나온다. ​ ​ ​ ​ ​ ​ ​ 파일을 다운받은 후 와이어샤크로 열어보면 아래와 같은 화면이 보인다. 총 8개의 패킷이 캡쳐되어있다. ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ 상세 스트림 내용을 확인해보기 위해서 TCP Stream을 이용하였다. ​ ​ ​ ​ ​ ​ 내용을 확인해보면 ​http://2014.easyctf.com/account​으로 HTTP POST를 요청하고 있고, 변경한 비밀번호인 것 같은 flag%7Bno%2C_lolteam_is_not_an_admin_account%7D도 있다. ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ 정보를 더 얻기 위해서 HTTP 프로토콜 패킷을 분석해보았다. 제일 위에 있는 4번부터 분석하던 중 HTML ..

3팀 김주미 exe 파일 하나를 다운로드 받는다. 그냥 클릭만 해서는 뭐가 안 되고... 뭔가를 입력해야 일어나는 기능이 있나보다? immunity debugger를 사용해서 파일을 확인해볼 예정이다. (사실 리버싱 문제는 어떻게 접근해야하는지 몰라서 라이트업 참고했다. 보통 디버거로 살펴보기 시작하더라) 그냥 실행했을 때... 다른 곳으로 점프해서 끝나거나 그런 건 없다. 실행이 완료되어도 시작화면과 동일하다. 그렇게 쭉 스크롤을 내려보면서 코드를 살펴보던 중에 의심되는 구간을 발견했다. 약간 Congratulation! 하고 끝나는 게 실행파일에서 뭔가 키?를 입력하면 나오는 메시지인 것 같은데 문제는 그 위에 있는 문자열 913464이다. 이걸 입력하면 축하한다는 문자가 뜨는 구조는 아닐까... 하..

4팀 이유진 pcap 파일을 다운 받아서 패킷을 쭉 내려보는데 프로토콜이 MP4로 되어 있는 특이한 패킷이 하나 있었다 일단 우클릭 - [Follow] - [TCP Stream]을 선택해서 stream을 해보았다. Content-Type이 mms-message로 되어 있어서 보통 우리가 문자로 사진이나 동영상을 보낼 때 사용하는 MMS가 아닐까 생각했다. 아래 쪽에 있는 VID_20130705_145557.mp4가 파일 이름이 아닐까 추측해보았다. 파일을 복구하기 위해 카빙을 해야 하는데 아래쪽에서 data를 Raw로 변경해줘야 한다. 파일 확장자는 mp4로 지정했다. 저장한 파일을 실행했는데 재생할 수 없다는 메시지 창이 떴다. HxD로 열어봤더니 시그니처가 MP4 형식이 아니었다. 카빙을 할 때 모든..

6팀 최민영 CTF-d의 Find Key(Movie)를 풀어보도록 하겠습니다. 문제를 다운 받아보니 갱-뱅을 외치는 영상이었습니다. (소리가 갑자기 훅 들어오니 문제 푸실 때 소리 줄여두는 걸 추천) 특이한 점은 중간 중간 이상한 이미지가 뜬다는 것인데, 제가 눈으로 확인한 것만해도 5개의 이미지가 순간순간 빠르게 지나갑니다. 빠르게 일시중지를 한 결과 두 이미지를 캡쳐할 수 있었는데, key값과 관련이 있는 것 같습니다. https://dev-jm.tistory.com/44 Video에서 Frame (image) 추출하기 다량의 이미지 데이터를 얻기 위해 영상에서 frame단위로 이미지를 추출할 수 있습니다. 공개된 영상 데이터를 사용하는 경우도 있을 것이고, 직접 다각도로 대상을 동영상으로 촬영한 뒤..

1팀 송보연 ctf-d 사이트의 우리는 바탕화면 캡처본을 얻었다. 라는 문제를 풀어보려 한다. 이 문제에는 키 포멧이 주어지지 않았다. 우선 주어져 있는 이미지 파일 하나만 받아준다. 이러한 이미지 파일이 주어져있다. 그림을 보니 HxD에 파일을 열어둔거같고, 그 HxD 캡쳐화면을 그림판에 넣은 화면과 어떤 웹사이트를 하나 띄워놓은게 보인다. 뭔가 이 이미지 파일을 내가 또 HxD에 넣는건 아닌거같아서 일단 무작정 또 째려봤다. 그러다가 든 생각이 왜 HxD파일을 굳이 또 캡쳐해서 그림판에 넣었을까? 생각이 들었다. 그래서 나도 위 이미지 파일에서 HxD부분만 캡쳐해서 그림판에 넣어보았다. 이미지 파일속 그림판을 보니까 검정색으로 색채우기가 선택되어있는걸 볼 수 있다. 그래서 나도 검정색 색채우기로 Hx..

5팀 최민주 첨부된 파일을 다운로드하여 열어보았습니다. 스테가노그래픽 기술이 사용됐는지 확인해보았지만 플래그로 추정되는 건 발견할 수 없었습니다. Hxd 편집기로 열어보았더니 header 시그니처 다음에 문제가 있었습니다. 찾아보니 PK는 시그니처로 .zip 파일임을 확인할 수 있었습니다. binwalk로 확인해보니 zip 파일임을 확실하게 알 수 있었고 이를 추출해 보았습니다. 추출된 zip 파일 안에는 usethis 파일과 292D.zip 파일이 존재했습니다. 내부 파일인 usethis 파일을 살펴보니 url이 나왔습니다. 이 url은 steghide 명령어를 사용할 수 있도록 하는 설치 사이트라고 합니다. 또한 steghide 툴은 이미지에 데이터를 숨기거나 추출할 때 쓰입니다. 다운을 받아줍니다...