S.W.F.S.

3팀 정다빈 문제를 다운받으면 다음과 같은 사진이 나온다. HxD 로 열어 봤더니 flag값으로 의심가는게 있다. https://www.base64decode.org/ Base64 Decode and Encode - Online Decode from Base64 format or encode into it with various advanced options. Our site has an easy to use online tool to convert your data. www.base64decode.org base64로 Decode해보니 바로 나왔다. flag 값 : BITCTF{S5 0014+81}

3팀 정다빈 사진을 다운로드 받았더니 qr코드 같은 사진이 나왔다. 빈 공간에 네모가 있어야하는데 없는 qr코드이다. 구글링을 통해 Decoder 사이트를 찾았다. 원본을 넣어주면 나오지 않는다. 그림판을 통해 사진을 반전시켜주고 다시 해봤다. flag 값 : 1t_S_s0_cr3atIv3

3팀 심유나 먼저 사진을 열어보니 바탕화면인데 창이 3개 띄워져 있는 사진이 나왔다. 도저히 어떻게 손을 대야 할 지 몰라서 구글링을 해보았다.. 사진 오른쪽 하단에 보면 그림판은 그림판인데 채우기 부분이 선택되어 있는 걸 볼 수 있다. 일단 똑같이 사진을 그림판으로 열었다. 그리고 채우기로 검정색을 채워주면 이렇게 글자(플래그)가 보이는 걸 알 수 있다. SECCON{the_hidden_message_ever}을 플래그 값으로 입력하면 해결~!

3팀 심유나 문제에는 키 형식이 주어져 있고, 약간의 힌트(base64)도 보인다. 먼저 스테가노그래피와 속성을 살펴보았는데 역시나 특별한 건 없어서 hxd로 열어보았다. 문제에 키 format이 BITCTF{(key)}라고 나와있어서 BITCTF를 Base64로 encode해보았다. QklUQ1RG가 나와서 텍스트 문자열로 검색을 해보았다. 뒤 문자열까지 포함하여 플래그 값으로 예상된다. 그 부분을 복사해서 이번에는 DECODE를 해보았다. 결과는 BITCTF{S5 0014+81} 이렇게 나왔다. 플래그 값으로 입력하면 해결!

3팀 이윤지 이리저리 클릭을 해 보다가 가장 왼쪽에 작게 적혀 있던 O에 마우스를 올리고 클릭을 하면 글자가 옆으로 조금씩 밀린다는 것을 알게 되었다. 페이지 소스를 확인해 봤더니 onclick 부분을 유심히 봐야 할 것 같다. O 이걸 해석해 보자면... 글자를 한 번 누를 때마다 1 픽셀씩 움직이고 1600 픽셀이 되었을 때 go에 현재 위치를 담아 전송하게 되는 코드라고 한다. 즉 글자를 1600 픽셀 움직이면 문제가 풀리는 듯! 개발자 도구를 이용해 1599까지 이동을 해 주고 마지막 한 번을 마우스로 클릭을 했더니 간단하게 문제가 풀렸다! 성공!

1팀 김나연 outlook.exe의 덤프파일을 strings 파싱한 파일(strings_3196.log)에서 메일 원본을 찾아보자 메일 원본은 URL을 찾으면 됨 http://식으로 검색 결과가 많으니 exe, pdf, docx, xlsx 형식으로 결과값 중에서 다시 검색 strings_3196.log에서 'http://'로 검색한 후 결과 값에서 다시 '.exe' 로 검색했을 때 결과가 3개 나온다. 검색 결과를 포함한 줄로 가보니 html 형식으로 메일 원본으로 보이는 내용을 찾았다. 내용을 메모장으로 옮겨서 보면 아래와 같다. VPN software인 것처럼 속여 첨부파일을 보낸 것으로 추정된다. 태그 안 첨부 파일은 AnyConnectInstaller.exe이다. flag AnyConnectIns..

1팀 김나연 제공된 파일 확장자가 vmss다. vmss파일이 뭔지 찾아봤다. vmss파일 (VMware Suspended State File) VM웨어 일시 중단 된 상태일 때 상태를 저장한 파일 VM이 중지된 위치에서 VM을 재개하는 데 사용됨. 우선 volatility imageinfo 명령으로 운영체제를 식별 분석하기 위해 미리 명령어.log 파일 형식으로 저장해둔다. pslist 결과값을 봤을 때 메일 관련된 프로세스를 찾아보니 OUTLOOK.EXE를 찾았다. PID는 3196 outlook.exe를 메모리 덤프해서 메일 원본을 보자 volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 memdump ..

3팀 이윤지 dump1.raw.lzma 파일의 압축을 푸니 dump1.raw 파일이 나왔다. raw 확장자를 가지는 파일은 메모리 덤프 파일이기 때문에 volatility를 이용하려고 한다. (volatility를 사용해 풀었던 문제: https://ziee.tistory.com/83) 이 메모리 파일의 profile은 Win10x64인 것을 imageinfo 명령어를 통해 알 수 있다. pstree를 통해 확인해 보니 다른 시스템 프로세스들보다 눈에 띄는 그림판 mspaint.exe의 흔적이 있다. 프로세스 PID는 4092인 것을 확인할 수 있다. mspaint.exe를 덤프 해 보아야 할 것 같다. (참고: https://aaasssddd25.tistory.com/55) 4092.dmp가 추출되었다..