분류 전체보기
-
[ctf-d] DefCoN#21 #12022/Write-Ups 2022. 8. 24. 01:10
4팀 이유진 첨부된 pcap 파일을 와이어 샤크로 열어서 살펴보았다. 7번 패킷에서 IRC 프로토콜을 사용한 것을 발견했다. * IRC 프로토콜은 Internet Relay Chat의 약자로 실시간 채팅 프로토콜이다. 7번 패킷에서 우클릭 - [Follow] - [TCP Stream]을 선택해주었다. 3번째 줄까지는 그냥 평문으로 주고 받았고 그 다음 메시지부터는 인코딩된 문자열로 보인다. https://www.rapidtables.org/ko/convert/number/hex-to-ascii.html 16 진수에서 ASCII로 | 16 진수에서 텍스트 문자열로 변환기 16 진수-ASCII 텍스트 변환기 접두사 / 접미사 / 구분 기호와 함께 16 진수 바이트를 입력하고 변환 버튼을 누릅니다 (예 : 4..
-
-
[ctf-d] GrrCON 2015 #22022/Write-Ups 2022. 8. 24. 00:37
6팀 박지혜 Q. ctf-d : GrrCON 2015 #2 http://ctf-d.com/challenges#GrrCON%202015%20#2 [DigitalForensic] with CTF ctf-d.com 기존의 1번 문제 파일에서 찾을 수 있다. 1번에서 찾은 dump의 txt 파일에서 공격자가 프런트 데스크 직원들의 이메일로 첨부해 보낸 파일의 이름을 알아내면 된다. * 1번 문제 해결 https://zzieyh.tistory.com/84?category=972236 hit the books zzieyh.tistory.com KEY Format이 .exe 파일이라고 했으므로 txt 파일에서 .exe를 검색어로 걸고 찾아보았다. 다음과 같이 AnyConnectInstaller.exe 파일을 보낸 것..
-
[ctf-d] GrrCON 2015 #12022/Write-Ups 2022. 8. 24. 00:36
6팀 박지혜 Q. ctf-d : GrrCON 2015 #1 http://ctf-d.com/challenges#GrrCON%202015%20#1 메모리 파일 관련 문제다. 우선 해당 파일을 다운받았다. 생각보다 용량이 큰 파일이다. 파일 다운이 완료되었으면, Volatility 프로그램을 이용해 파일을 분석하도록 하자. 1. -f Target1-1dd8701f.vmss imageinfo 명령어를 이용해 해당 메모리 파일의 프로파일 정보를 알아야 한다. 명령어를 통해 해당 메모리가 Win7 버전을 이용했음을 확인할 수 있다. 여기에서 Win7SP0x86 을 프로파일로 사용할 것이다. 2. pslist 플러그인을 이용해 현재 작동중인 프로세스를 확인한다. (-f Target1-1dd8701f.vmss --pr..