S.W.F.S.

6팀 최민영 Suninatas forensic 30번 문제 풀이 시작 문제 파일을 다운받으니 .dat 파일이 존재하여 volatility를 사용하여 문제를 풀어보겠다. (Window 10에서 Volatility 사용) - Volatility 명령어 참고 글 - https://schmidtiana95.tistory.com/entry/Volatility Volatility 플러그인 볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습 schmidtiana95.tistory.com volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaT..

6팀 최민영 Suninatas forensic 21번 문제 풀이를 시작하겠습니다 먼저 문제상에 있는 이미지 파일을 다운 받아 보겠습니다. 이미지 파일의 속성을 보니 같은 사이즈의 이미지 파일에 비해 용량이 너무 큰 것을 볼 수 있었습니다. 이런 경우 이미지 파일 내 다른 이미지 파일이 있을 수도 있으니 foremost 도구를 이용해 압축 파일이 있는지 확인해보겠습니다. - foremost 명령어 참고 글 - https://hyess.tistory.com/314 [Forensics Tools] Foremost 카빙 툴 프로그램(Foremost) ■ Package Description Foremost는 데이터 구조를 기반으로 손실 된 파일을 복구하기 위한 카빙(Carving) 툴 프로그램 입니다. 네트워크 ..

6팀 최민영 CTF-d의 모두 비밀번호를 txt파일...문제 풀이를 시작하겠습니다. 파일은 word로 열리는데 이게 깨진 건가 싶어 rtf 파일이 무엇인지 찾아보니 그냥 글꼴도 저장해둔 파일이라고 한다. 즉, 이 내용은 깨진 파일이 아니고 진짜 이 내용의 파일인 것이다. 자세히 보다가 무언가 Hex코드와 유사하다고 생각되었다. 또한 번호의 앞 부분이 PNG 파일의 시그니처 숫자와 동일하여 \와 '기호를 없애주고 PNG 파일로 만들어 줘 보겠다. 메모장의 바꾸기 기능을 이용하여 \은 없애주고 '은 공백으로 남긴 뒤 Hex 프로그램에 붙여넣기 해주었다. 사진을 열어보니 호머 심슨 그림이 있었고, 이에 대해 무언가 숨겨져 있는건가 싶어 사이트를 이용해 명도와 채도를 살펴보았다. 찾아보았지만 별다른 문제는 없어..

6팀 최민영 CTF-d의 내 친구 Mich는 이 멋진 튤립...문제 풀이 시작하겠습니다. 사진을 다운받아 열어보자 꽃 사진이 있었습니다. 이걸 어떻게 해볼까 하다 힌트 1, 2를 통해 사진을 채도나 명도 등을 조절해서 숨겨진 코드를 찾아내는 문제인가 싶어 한 사이트를 이용해 주었습니다. https://29a.ch/photo-forensics/#pca Forensically, free online photo forensics tools Forensically is a set of free tools for digital image forensics. It includes clone detection, error level analysis, meta data extraction and more. 29a.ch..

6팀 최민영 CTF-d 의 '이 파일에서 플래그를 찾아라!' 문제 풀이 시작하겠습니다. 파일안에 있는 Zip 파일을 열어보자 해당 이미지 파일이 나왔습니다. 한가지 이상한 점은 PNG 파일치고 용량이 너무 크다는 점 입니다. 이러한 경우는 2가지를 생각해 볼 수 있는데, 하나는 파일안에 또 다른 파일이 숨겨져 있거나 아니면 사진의 가로 세로 크기가 엄청 크거나를 의미합니다. 저는 이 파일의 가로 세로 크기에 대해서 먼저 진행해 보겠습니다. 파일의 헤더 시그니처 부분이 파일의 사진 크기를 정해주는데, 이를 변경해 보겠습니다. 가로 크기를 '00 00 0B D0' 에서 '00 00 1B D0'으로 변경해주고, 세로 크기를 '00 00 0F C0' 에서 '00 00 1F C0'으로 변경해 준 뒤 저장해보겠습니..

6팀 최민영 CTF-d의 'DOS 모드에서는...' 문제 풀이 시작하겠습니다. 문제 안에 있는 사진을 열어보니 한 아이의 사진이 있었으며, 문구는 문제가 Hex 코드와 관련이 있다는 것을 알려주는 것 같아 이 이미지를 다운받아 HxD 프로그램으로 열어보겠습니다. 앞 부분은 이상한 점이 안 보였지만 뒤에 부분을 살펴보니 exe 파일로 추정되는 코드를 발견하였고 이를 따로 빼내어 .exe 파일로 저장시켜 보겠습니다. exe 파일을 실행 시켜주자 DOS 모드에서 플래그 값이 나왔습니다. 풀이 완료

6팀 최민영 문제에서는 PDF 파일 암호를 잊어버렸다며 PDF 파일을 첨부하고 있었습니다. 이 PDF를 열어볼려고 시도하니 암호가 걸려있다며 비밀번호를 입력하라는 메시지 창이 뜹니다. 하지만 저는 이 암호를 모르니 암호를 알아내는 방법을 써보겠습니다. 저는 pdfcrack을 썼는데, PDF 암호에 무차별 대입을 통해 비밀 번호를 알아낼 수도 있으며, 옵션을 통해 좀 더 편히 암호를 알아낼 수 있는 리눅스 환경에서의 도구 입니다! 저는 -w라는 옵션을 통해 비밀번호을 알아내었는데, 여기서 -w 옵션은 '파일을 통해 비밀번호를 알아낸다' 라는 기능을 가지고 있습니다. 즉, 저는 rockyou.txt라는 파일을 이용하여 비밀번호를 알아내었는데, 이 파일은 비밀번호를 해둘만한 단어 리스트가 저장된 파일입니다. ..

6팀 최민영 제 생각을 알고 있다는 문제를 한 번 풀어보도록 하겠습니다. 문제 설명을 보면 모든 데이터를 이미지에 저장하냐며 그냥 정보만 알려달라고 하고 있으며, 힌트로는 eXist가 눈에 띄는데, 특히 왜 X만 대문자인지 모르겠습니다. JPG 파일을 열어보면 ICE CTF 라는 문자가 보입니다. 힌트의 eXist가 무엇을 의미하는지는 모르겠지만 일단 문제 속에서 정보를 달라 하였으니 이미지 속성에 들어가 이미지의 정보를 찾아보겠습니다. 이미지 속성 중 자세히에 들어가보니 설명에 이상한 글귀가 적혀져 있습니다. 이를 이용하여 flag 값을 입력해주니 문제가 풀렸습니다! + 이 EXIF에 대해서 찾아보니 메타 데이터란 뜻인데, 자세한 설명히 적혀있는 블로그 첨부하겠습니다. https://velog.io/@..