분류 전체보기
-
[ctf-d] 거래 조건 알고 있잖아요?2022/Write-Ups 2022. 8. 16. 23:42
3팀 김주미 아무것도 없는 것처럼 보이지만 예시 이미지를 본문에 삽입했다. 커서에 안잡히는 걸 보면 몇 번 반복해도 업로드가 불가한 파일인 것처럼 보이기도 한다? 문제에서 연결되는 링크에선 다음과 같이 작은 흰색 공백 사진이 뜬다. 속성 값에 다른 문자열은 없고, HxD에서 키 포맷을 검색해봐도 걸리는 문자열은 없지만.. 그 전에 걸리는 점이 헤더 시그니처가 없다는 것이다. 다른 확장자의 시그니처를 가지고 있는 것도 아니고... 아예 시그니처 자체가 짤려서 정상적인 파일 인식을 못했던 걸까?? jpg의 헤더 시그니처는 FF D8 FF E0(또는 E8) 푸터 시그니처는 FF D9 이다. 맨 앞에 jpg의 헤더 시그니처를 추가해주었다. HxD는 다른 프로그램들보다 헥스코드 수정이 쉬워서 좋다... 따로 기능..
-
[ctf-d] black-hole2022/Write-Ups 2022. 8. 16. 23:24
4팀 이유진 [DigitalForensic] with CTF ctf-d.com 첨부된 파일을 열면 우주 사진이 있다. HxD로 사진을 열어서 봤는데 딱히 도움되는 것은 없었다 힌트에 BITCTF가 있길래 검색을 해봤는데 결과를 찾을 수 없었다. 문제를 다시 읽어봤는데 Base64 형식으로 인코딩 되어 있다는 부분을 발견했다 https://www.base64encode.org/ Base64 Encode and Decode - Online Encode to Base64 format or decode from it with various advanced options. Our site has an easy to use online tool to convert your data. www.base64encode...
-
-
[ctf-d] 모두 비밀번호를 txt파일...2022/Write-Ups 2022. 8. 16. 23:18
1팀 김나연 rtf 파일은 처음보는 파일 형식이다. rtf란? 서식있는 텍스트 파일이다. 굵은 글씨체와 이탤릭체, 다른 글꼴과 크기 및 이미지 같은 서식 유지 가능. 일반 텍스트 파일과 다르다. 많은 운영체제가 지원. 찾아보니 rtf 파일을 word로 열어도 된대서 word로 열어봤더니 hex값으로 보이는 값들이 가득하다. hex값을 보면 또 hxd를 사용해야할 거 같으니 hxd로 복사해준다. 대신 ' ' , \을 제거해야하는 번거로움 word에서 '바꾸기'로 '', \ 대신 공백으로 바꾸었다. 바꾸니까 헤더 시그니처가 PNG라는 것을 알 수 있다. 그럼 PNG파일로 만들어보자 hxd로 만든 파일을 저장하고 확장자를 png로 해주었다. png사진이 나오긴했는데 flag값은 안 보인다. 파일 안에 파일이 ..
-
[CTF-d] 윈도우 작업 관리자에서 우클릭...2022/Write-Ups 2022. 8. 16. 23:17
6팀 최민영 CTF-d의 디스크 문제 윈도우 작업 관리자에서 우클릭...을 풀어보도록 하겠습니다. 문제를 다운 받아보니 압축파일이라 압축을 풀어주면 이러한 파일이 보입니다. 파일명이 RunMe이지만 불안하니 아직은 실행시키지 않겠습니다. 파일을 HxD 프로그램으로 열어보니 MDMP 파일인 것으로 확인되었습니다. MDMP 파일이란? 프로그램 오류 또는 충돌 후 Windows가 생성 한 압축 파일로 프로그램의 메모리 공간에서 "덤프 된"데이터를 포함한다. 참고 사이트: https://whatext.com/ko/mdmp 사이트에서 확인해보니 비주얼 스튜디오로 열 수 있다고 하여 비주얼 스튜디오로 열어주겠습니다. 비주얼 스튜디오로 열어보니 해당 덤프 파일의 요약 정보만 나와 있지 별다른 내용은 찾을 수 없었습니..
-
[ctf-d] DOS 모드에서는...2022/Write-Ups 2022. 8. 16. 23:17
1팀 김나연 문제에 제시된 jpeg 파일이다. hex값...? hxd로 열어본다. jpeg파일의 헤더 시그니처도 확인했고 푸터 시그니처를 확인하려고 내렸는데 웬 이상한 문자만 가득하다. FF D9 여기가 푸터 시그니천데 밑에는 다른 내용이 훨씬 많다 This program cannot be run in DOS mode 문제와 같은 말이다. jpeg 다음에 다른 파일이 하나 더 있는 거 같으니 분리시켜 본다. 리눅스 파일 카빙 툴 foremost 명령어로 exe파일 획득 카빙해서 나온 exe파일을 실행시키니까 flag값이 나왔다
-
[ctf-d] GrrCon 2015 #32022/Write-Ups 2022. 8. 16. 23:13
4팀 김기연 이전 문제 풀이 (#1, #2) https://ukkiyeon.tistory.com/185 [ctf-d] GrrCon 2015 #1 #2 Volatility 명령어 정리 imageinfo 메모리의 운영체제를 식별 pslist 시간 순서대로 출력 psscan 숨김 프로세스를 볼 수 있음 pstree PID, PPID 기반으로 구조화해서 보여줌 psxview pslist, psscan을 한 눈에 볼.. ukkiyeon.tistory.com iexplore.exe에서 AnyConnectInstaller.exe를 다운받은 것으로 보인다고 했으니까, iexplore.exe를 추가 분석해보자. (procdump) pstree.log를 확인해보면, iexplore.exe의 PID는 2996 procdum..