전체 글 (185) 썸네일형 리스트형 Python Challenge # LV.0 http://www.pythonchallenge.com/ CSICTF2020 #Forensic - Panda 주어진 panda.zip파일을 압축해제하려면 암호가 필요하다. 문제에서 AJ1479에게 파일을 보내려고 하는데 그 내용을 누군가 보는 걸 원하지 않아서 pin으로 보호했다고 적혀있다. 암호를 모르니 칼리리눅스에서 John The Ripper 도구를 사용해보았다. #John The Ripper 설치방법 git clone https://github.com/magnumripper/JohnTheRipper.git cd /JohnTheRipper/src sudo apt-get update sudo apt-get libssl-dev ./configure && make cd /JohnTheRipper/JohnTheRipper/run zip 암호를 풀기 위해선 zip2john.exe를 사용한다. zip2john [암호.. CTF-d_Disk #7 윈도우 작업 관리자에서 우클릭... 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 덤프 파일 RunMe.DMP.xz를 칼리 리눅스에서 압축해제를 해보았다. 힌트에선 준 SharifCTF를 strings명령어로 검색해보니 플래그를 찾을 수 있었다. strings RunMe.DMP | grep SharifCTF 플래그 : SharifCTF{4d7328869acb371ede596d73ce0a9af8} CTF-d_Disk #6 A회사 보안팀은 내부직원… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 evidence.001파일을 FTKImager열어보았다. NTFS 파일시스템 안에 이상한 문자열로 적힌 10개의 폴더가 있다. 하나씩 열어 확인해 보니 5BB3AF5D~폴더->Libary->Caches->Snapshots->com.getdropbox.Dropbox에 tim-folder가 적힌 pdf 캡쳐사진이 있다. 왼쪽 메뉴에서 Caches를 우클릭하여 Export file(파일 추출)하였다. SQLite에서 Caches폴더안에 cache.db파일 실행해보았다. 데이터 보기에서 테이블을 data_cache로 클릭하고 아까 pdf의 캡쳐사진에서 tim_folder의 데이터를 클릭.. CTF-d_Disk #4~5 판교 테크노밸리 K기업에서… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 사용자가 웹 브라우저를 이용하여 남긴 아티팩트(운영체제나 애플리케이션을 사용하면서 생성되는 흔적)를 분석하는 문제이다. 웹 브라우저의 history정보가 담긴 파일을 찾아서 분석하면 된다. 압축을 풀면 7ester파일 안에 사진과 같은 폴더가 들어있다. Appdata\local\Microsoft안에 보면 Chrome이나 Safari 폴더가 없으므로 Internet Exploror를 사용하는 것 같다. Internet Explorer 경로를 표로 정리해 보았다. Internet Explorer 전체 경로 History %UserProfile%\AppData\Local\Microsoft\W.. CTF-d_Disk #1~3 이벤트 예약 웹사이트를 운영하고… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 이번 문제는 Disk관련 문제이다. A~C번까지 문제가 연결되어 있다. 주어진 문제 파일 2012_Secuwave F100.7z을 다운 받아 열어보았다. 6개의 폴더 안에는 각각 이러한 파일이 들어있다. > accounts - history:사용자가 입력했었던 명령어 저장 - group:사용자 그룹목록 - last_R:로그인 상태 - lastlog:마지막 접근했던 사용자 정보 - passwd:마지막에 추가된 정보 - shodow - w: 현재 사용자 > file - fls_r_m, mactime_b > network - arp - lsof:프로세스에 대한 네트워크 정보 출력 - nets.. CTF-d_Multimedia #14 Graphics Interchange Format 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 파일을 열어보면 할아버지가 웃고있는 움짤이 나온다. HxD로 열어보니 헤더는 gif시그니처가 맞다. 문제에서 더이상 주어진 힌트가 없다. 사진 속 할아버지 이름(Gandalf)을 HxD에서 검색해 보았다. flagisgandalfthebest라는 문구가 있었다. 플래그는 gandalfthebest CTF-d_Multimedia #13 basics 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 steg.png파일을 열어보았다. 파일이름이 steg인 걸로 봐서 Stegsolve로 풀면 될 것 같은 예감이.... cmd에서 java -jar Stegsolve.jar를 입력하여 Stegsolve 툴을 실행시킨다. Red Plane 3, Green Plane 4, Green Plane 2, Random colour map 1~3, Gray bits, Colour Inversion에서 플래그를 찾을 수 있다. 플래그 : L1nux3rr0r CTF-d_Multimedia #12 이 파일에서 플래그를 찾아라! 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com sunrise.zip파일을 풀어보니 sunrise.png 파일이 있었다. 파일 사이즈가 커서 블로그에 올릴 수가 없다. HxD로 파일을 열어보았다. 헤더는 png 시그니처가 맞다. 이미지 속성을 보면 3024 x 4032픽셀로 엄청 큰 사이즈임을 알 수 있다. HxD에서 이미지 크기를 줄여보았다. [그림2]에서 png 구조를 보면 헤더 시그니처가 오프셋 0x00에서 00부터 07까지 8바이트. 그 밑에 오프셋 0x10에서 8바이트 중 00~03(4바이트)은 가로 크기, 04~07(4바이트)은 세로크기이다. 여러번 크기를 조정해서 보니 세로크기를 좀 더 늘려주면 된다. 00 00 0F C.. CTF-d_Multimedia #11 계속 주시해라! 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 Proxy.jpg파일을 열어보았다. 당신은 해킹을 당했다는 문구가 적혀 있다. Proxy.jpg를 HxD에서 열어보니 헤더는 FF D8로 JPG 시그니처가 맞았다. 푸터는 FF D9가 존재하긴 하지만 뒤에 숨겨진 문자열이 있다. (스테가노 그래피) 플래그를 쉽게 찾을 수 있었다. 힌트에서 Key Format이 TEXT라고 알려줬기 때문에 다른 방식으로도 풀어보았다. 칼리리눅스에서 strings 명령어로 문자열을 출력해보았다. strings Proxy.jpg | grep -i 16 grep : 특정 문자열을 찾고자할 때 사용하는 명령어 -i : 비교시 대소문자를 구별 안함 16개 .. 이전 1 ··· 14 15 16 17 18 19 다음
