#Digital Forensic with CTF/CTF-d_Multimedia (58) 썸네일형 리스트형 CTF-d_Multimedia #57 그들이 우리의 데이터를… www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com pcapng파일을 보면 sequence number가 정렬되어 있지 않았다. binwalk로 숨겨진 파일이 있는지 확인해보았다. jpg파일이 많이 보였지만 추출이 되지 않았다. foremost로 추출해보아도 알아보기 힘든 이미지가 나왔다. 주어진 파일은 pcapng파일인데 tcpflow를 할 때 잘 안되는 것 같아 pcap으로 바꾸어주었다. editcap -F libpcap -T ether shattered.pcapng shattered.pcap tcpflow는 sequence number를 이해하고 재전송 또는 비순차적 전달에 관계없이 데이터 스트림을 올바르게 재구성한다. tcpflow.. CTF-d_Multimedia #56 Find Key(docx) www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 docx파일을 PK로 바꾸어 압축을 풀어보면 media폴더에 이미지가 들어있다. jpeg파일 3개와 image2.emf, image4.emf는 docx파일에 있던 이미지이고, image6.emf파일은 열리지 않았다. image.emf파일을 HxD로 열어보니 시그니처가 PK였다. 맨처음 zip파일로 저장했지만 열리지가 않아서 docx파일로 저장했다. 파일에는 2013이라고 크게 적혀있었다. 여기서 부터는 다른사람 풀이를 참고했다.......... 문제 속 힌트에 Extra Field Entry라고 적혀있다. image6.emf파일 Hex값을 보면 0x39 오프셋부터 0으로 되어 있다.. CTF-d_Multimedia #55 google www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 이미지는 구글메인화면이다. 확대해서 보면 빨간점이 여러개 보인다. 포토샵에서 rgb값을 확인해보았지만 값이 전부 다르다. 하지만 공통점은 (255,0,x) 형태이다. x값만 바뀐다. from PIL import Image f=Image.open("E:/forensics/CTF-d/Multimedia/55/google.png") result="" for i in range(f.size[0]): for j in range(f.size[1]): pixel=f.getpixel((i,j)) if pixel[0] == 255 and pixel[1]==0: print(i,j,pixel) res.. CTF-d_Multimedia #54 Emma Watson www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 건 엠마왓슨 사진 뿐이였다. Stegsolve로 확인해보니 gray bits에서 상단에 픽셀이 보인다. 파이썬으로 픽셀을 바이너리로 표현해보았다. from PIL import Image img=Image.open("E:/CTF-d/Multimedia/54/solved.bmp") result="" byte = "" for x in range(img.size[0]): pixel=img.getpixel((x,0)) if pixel== (255, 255, 255): byte+='0' else: byte+='1' print(byte) for i in range(0,len(byte),8): .. CTF-d_Multimedia #53 주어진 파일들을 이용해 KEY를 찾아라! www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 zip파일 압축을 풀면 공항사진 4장과 steghide.jpg 파일이 있다. 사진 속에 무언가 숨겨진 것 같아 steghide로 공항사진과 steghide.jpg를 넣어서 확인해 보았지만 pw를 모른다.. 구글 이미지에서 어느 국가 공항인지 알아보았다. 첫 번째 공항은 유독 검색해도 안 나와서 풀이를 보았다. www.airportal.go.kr/knowledge/airports/KfMain01.jsp?df_area=IATA%C4%DA%B5%E5 항공정보포탈시스템에 오신것을 환영합니다. www.airportal.go.kr 공항마다 IATA코드가 있다고 한다. 1. HAV 2. HKG.. CTF-d_Multimedia #52 pdf파일 암호를 잊어버렸습니다. www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 mypassword.pdf파일에는 암호가 걸려있다. JohnTheRipper의 도구 중 pdf2john.pl을 사용하면 된다. >> ./pdf2john.pl mypassword.pdf > hash_pdf.hash >> ./john hash_pdf.hash password는 elephant이다. pdf를 열어보면 빨간색 박스가 있고, 플래그는 보이지 않는다. ctrl+a를 눌러보니 password 밑에 드래그가 된다. 복사하여 메모장에서 확인하면 플래그를 알 수 있다. Flag : ABCTF{Damn_h4x0rz_always_bypassing_my_PDFs} CTF-d_Multimedia #51 é_é 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 파일(0227597b75da424e4233f8b3c1873446)에는 확장자가 없다. HxD에서 헤더를 보면 FF D8 FF E1으로 jpg파일이다. Digital Camera로 캡쳐했을 때 위와 같은 시그니처를 쓴다고 한다. 확장자를 jpg로 바꾸어 저장해보니 위와 같은 수 많은 사진들이 하나로 합쳐져 있다. 첫번째 5개를 보면서 qrcode 스캔을 해보았지만 이 방법은 아니었다... 이미지를 보면 표지판, 숫자 등등 적혀있는데 중간쯤에 이미지 위에 또다른 무언가가 겹쳐서 적혀있다. ZmxhZ3tuIWNldHJ5fQ base64 디코딩을 해보니 플래그가 나왔다. Flag : f.. CTF-d_Multimedia #50 QR코드를 발견했지만... 출처) http://www.ctf-d.com/ [DigitalForensic] with CTF www.ctf-d.com 주어진 qr.jpg는 끝부분이 잘린 이미지이다. ppt에서 수정을 해보았다. (이 방법이 맞는건진...............) ZXing Decoder Online zxing.org qrcode pc 스캔하는 사이트에서 확인해보니 플래그가 나왔다. Flag : who_spilled_their_coffee_on_my_qr_code 이전 1 2 3 4 ··· 8 다음