#Digital Forensic with CTF/CTF-d_Disk (7) 썸네일형 리스트형 CTF-d_Disk #10 저희는 디스크 이미지를 찾았습니다. 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com disk.img파일을 FTK Imager로 열어보니 아무것도 없었다. 문제에서 파일 시스템이 손상된 것처럼 HxD에도 MBR영역이 비어있다. 힌트에서 파일 시스템이 필요없다고 했다... 파일에 숨겨진 또다른 파일이 있는지 binwalk로 확인해보았다. image가 있다고 나와 foremost로 추출을 해보았다. 총 3장의 jpg파일이 추출되었다. 그중 첫번째 파일이 플래그이다. Flag : Flag_gooselings_cant_drive CTF-d_Disk #9 Tommy는 프로그램을 작성했습니다. 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 Tommy_2e00c18e3a480959ba5fb4f65ff7f2b7.zip을 풀어보면 out.txt파일과 parse라는 파일이 들어있다. out.txt파일에는 도메인 주소가 적혀있는 것 같다. parse파일을 strings로 검색해보았다. 플래그 형태인 h4ck1t를 검색해보니 플래그가 바로 나왔다. Flag : h4ck1t{T0mmy_g0t_h1s_Gun} CTF-d_Disk #8 당신의 친구 Bob은 모의해킹 전문가이다. 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 압축파일을 풀어보면 리눅스 형태의 폴더들이 있다. 그중에서 etc폴더 안에 보면 passwd와 shadow파일이 보인다. /etc/passwd root : x : 0 : 0 : root : /root : /bin/bash ① ② ③ ④ ⑤ ⑥ ⑦ ① 사용자 계정 ② 사용자 패스워드(/etc/shadow 파일에 암호화되어 들어있다.) ③ 사용자 UID 계정 (root는 0) ④ 사용자 GID 계정 (root는 0) ⑤ 사용자 계정 정보 ⑥ 사용자 계정 홈 디렉터리 ⑦ 사용자 계정 기본 쉘 /etc/shadow root : $6$PBY4XOYn$ : 16816 : 0 : 99999 .. CTF-d_Disk #7 윈도우 작업 관리자에서 우클릭... 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 덤프 파일 RunMe.DMP.xz를 칼리 리눅스에서 압축해제를 해보았다. 힌트에선 준 SharifCTF를 strings명령어로 검색해보니 플래그를 찾을 수 있었다. strings RunMe.DMP | grep SharifCTF 플래그 : SharifCTF{4d7328869acb371ede596d73ce0a9af8} CTF-d_Disk #6 A회사 보안팀은 내부직원… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 evidence.001파일을 FTKImager열어보았다. NTFS 파일시스템 안에 이상한 문자열로 적힌 10개의 폴더가 있다. 하나씩 열어 확인해 보니 5BB3AF5D~폴더->Libary->Caches->Snapshots->com.getdropbox.Dropbox에 tim-folder가 적힌 pdf 캡쳐사진이 있다. 왼쪽 메뉴에서 Caches를 우클릭하여 Export file(파일 추출)하였다. SQLite에서 Caches폴더안에 cache.db파일 실행해보았다. 데이터 보기에서 테이블을 data_cache로 클릭하고 아까 pdf의 캡쳐사진에서 tim_folder의 데이터를 클릭.. CTF-d_Disk #4~5 판교 테크노밸리 K기업에서… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 사용자가 웹 브라우저를 이용하여 남긴 아티팩트(운영체제나 애플리케이션을 사용하면서 생성되는 흔적)를 분석하는 문제이다. 웹 브라우저의 history정보가 담긴 파일을 찾아서 분석하면 된다. 압축을 풀면 7ester파일 안에 사진과 같은 폴더가 들어있다. Appdata\local\Microsoft안에 보면 Chrome이나 Safari 폴더가 없으므로 Internet Exploror를 사용하는 것 같다. Internet Explorer 경로를 표로 정리해 보았다. Internet Explorer 전체 경로 History %UserProfile%\AppData\Local\Microsoft\W.. CTF-d_Disk #1~3 이벤트 예약 웹사이트를 운영하고… 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 이번 문제는 Disk관련 문제이다. A~C번까지 문제가 연결되어 있다. 주어진 문제 파일 2012_Secuwave F100.7z을 다운 받아 열어보았다. 6개의 폴더 안에는 각각 이러한 파일이 들어있다. > accounts - history:사용자가 입력했었던 명령어 저장 - group:사용자 그룹목록 - last_R:로그인 상태 - lastlog:마지막 접근했던 사용자 정보 - passwd:마지막에 추가된 정보 - shodow - w: 현재 사용자 > file - fls_r_m, mactime_b > network - arp - lsof:프로세스에 대한 네트워크 정보 출력 - nets.. 이전 1 다음