S.W.F.S.

분류 전체보기

• [ctf-d] GrrCON 2015 #9

  2022/Write-Ups 2022. 8. 9. 23:51

  5팀 이은경 문제 풀이 NTLM 이란? 윈도우에서 제공하는 인증 프로토콜 중 하나이다. Windows NT의 모든 제품군에서 사용한다. 클라이언트 신원 확인을 할 때 네트워크를 통한 암호, 해시 암호를 전송하지 않고 Challenge-Response 방식을 사용한다. SMB 프로토콜에 하위호환성을 위해 내장되어 있다. hivescan Memory Dump로부터 CMHIVEs(Registry hives)의 Physical address를 찾아주는 명령어 hivelist hashdump hivelist에서 찾은 system(y 옵션), sam(s 옵션) hive offset값을 입력하여 확인한다. 문제에서 확인하라고 했던 관리자(Administrator) 계정의 해시 암호가 보인다. ophcrack으로 크랙..

  Read More
• [ctf-d] 답을 찾고 제출해라!

  2022/Write-Ups 2022. 8. 9. 23:51

  4팀 김기연 문제에서 주어진 stego_50.jpg 확인 hxd로 시그니처를 먼저 확인해보았다. 헤더와 푸터 모두 있었지만, 푸터 시그니처 FF D9 이후로 ZIP 파일의 헤더 시그니처 50 4B 03 04와 푸터 시그니처 50 4B 05 06을 확인할 수 있었다. 이후로는 알 수 없는 문자열도 볼 수 있었다. steghide~~ 라는 수상한 부분도 있어서 검색해보니, steghide라고 이미지에 데이터를 숨기거나 추출하는 툴이라고 한다. jpg만 지원한다고 하는데, 이걸 사용한 것으로 생각되었다. steghide를 다운받고, steghide --help로 메뉴얼을 볼 수 있는데, 추출하려면 steghide extract -sf ~.jpg를 사용하면 된다고 한다. 시도해봤지만, passphrase가 있어..

  Read More
• [ctf-d] basics

  2022/Write-Ups 2022. 8. 9. 23:50

  4팀 김기연 steg.png 확인 Ghost in wires는 무슨 해커 추격 자서전(?)이라고 함.. 오..호.. 시그니처는 멀쩡했다. steg.png니까 스테가노그래피같다 https://stegonline.georgeom.net/upload StegOnline stegonline.georgeom.net 사용법을 몰라서 아무거나 누르다가 LSB Half 눌렀더니 플래그를 확인할 수 있었다. 해결!

  Read More
• [ctf-d] GrrCON 2015 #5

  2022/Write-Ups 2022. 8. 9. 23:49

  5팀 이은경 문제 풀이 재부팅 후에도 계속 실행되기 위한 레지스트리가 무엇인지 알아야 될 것 같다. 윈도우가 시작될 때마다 악성코드를 실행할 수 있는 방법이 있는데, (지속 메커니즘) 그 중 가장 일반적으로 쓰이는 방법은 RUN 레지스트리 키에 항목을 추가하는 것이다. 참고1 가장 일반적인 run 레지스트리 키 목록이다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\..

  Read More
• [ctf-d] 계속 주시해라!

  2022/Write-Ups 2022. 8. 9. 23:45

  6팀 장지은 [CTF-D] Multimedia파트의 '계속 주시해라!'를 풀어보도록 하겠습니다. 문제를 확인하겠습니다. 파일을 다운해서 확인해보니 아래와 같습니다. Hxd를 통해 확인해보니 JPEG 파일 시그니처는 맞았습니다. 그러나 푸더 시그니처 뒤에 문자열이 나오는 것을 확인하였습니다. strings.exe 파일을 통해 파일의 문자열을 확인해보았습니다. 잘 나오다가 마지막 부분에 Hxd 프로그램에서 확인한 동일한 문자열이 마찬가지로 있었습니다. '16bbee7466db38dad50701223d57ace8'을 시그니처에 넣어보도록 하겠습니다. 간단하게 문제를 해결했습니다. 성공~

  Read More
• [자격증 1팀] 5주차

  보호글 2022. 8. 9. 23:37

  보호되어 있는 글입니다.

  Read More
• [ctf-d] 저는 이 파일이 내 친구와…

  2022/Write-Ups 2022. 8. 9. 23:35

  6팀 장지은 [CTF-D] Multimedia파트의 '저는 이 파일이 내 친구와…'를 풀어보도록 하겠습니다. 문제를 확인하겠습니다. 파일을 다운받아보니 확장자를 알 수 없었습니다. Hxd 프로그램을 통해 파일 시그니처를 확인해보니 zip파일로 추정되었습니다. 확장자를 zip으로 변경하여 확인해보니 내부에 형식 지원이 되지 않은 사진 파일을 찾을 수 있었습니다. 마찬가지로 Hxd 프로그램을 통해 파일 시그니처를 확인해보니 앞부분이 지원진 것으로 보였습니다. 앞부분에 '89 50 4E 47'을 추가하여 사진을 확인해보았습니다. 위와 같이 플래그를 확인할 수 있었습니다. easyctf{troll3d}를 입력하여 문제를 해결하였습니다. 성공~

  Read More
• [crescendo] Event Log Problem 03

  2022/Write-Ups 2022. 8. 9. 23:29

  김세연 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다. 제공된 이벤트 로그는 다음과 같다. 구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다. 1번부터 살펴보자. 1번은 설치된 비인가 프로그램의 실행파일 이름이다. 프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자. 비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자. 저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다. 오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다. 이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다. 실행을 했으니 정상설치 되었을 것이라 생각되어 ..

  Read More
이전
1 ··· 21 22 23 24 25 26 27 ··· 151
다음