CTF write up (37) 썸네일형 리스트형 CTF-d_Multimedia #57 그들이 우리의 데이터를… www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com pcapng파일을 보면 sequence number가 정렬되어 있지 않았다. binwalk로 숨겨진 파일이 있는지 확인해보았다. jpg파일이 많이 보였지만 추출이 되지 않았다. foremost로 추출해보아도 알아보기 힘든 이미지가 나왔다. 주어진 파일은 pcapng파일인데 tcpflow를 할 때 잘 안되는 것 같아 pcap으로 바꾸어주었다. editcap -F libpcap -T ether shattered.pcapng shattered.pcap tcpflow는 sequence number를 이해하고 재전송 또는 비순차적 전달에 관계없이 데이터 스트림을 올바르게 재구성한다. tcpflow.. CTF-d_Multimedia #56 Find Key(docx) www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 docx파일을 PK로 바꾸어 압축을 풀어보면 media폴더에 이미지가 들어있다. jpeg파일 3개와 image2.emf, image4.emf는 docx파일에 있던 이미지이고, image6.emf파일은 열리지 않았다. image.emf파일을 HxD로 열어보니 시그니처가 PK였다. 맨처음 zip파일로 저장했지만 열리지가 않아서 docx파일로 저장했다. 파일에는 2013이라고 크게 적혀있었다. 여기서 부터는 다른사람 풀이를 참고했다.......... 문제 속 힌트에 Extra Field Entry라고 적혀있다. image6.emf파일 Hex값을 보면 0x39 오프셋부터 0으로 되어 있다.. CTF-d_Multimedia #55 google www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 이미지는 구글메인화면이다. 확대해서 보면 빨간점이 여러개 보인다. 포토샵에서 rgb값을 확인해보았지만 값이 전부 다르다. 하지만 공통점은 (255,0,x) 형태이다. x값만 바뀐다. from PIL import Image f=Image.open("E:/forensics/CTF-d/Multimedia/55/google.png") result="" for i in range(f.size[0]): for j in range(f.size[1]): pixel=f.getpixel((i,j)) if pixel[0] == 255 and pixel[1]==0: print(i,j,pixel) res.. BSides Algiers 2021 Quals write up 금요일, 18 12월 2020, 09:00 UTC — 토요일, 19 12월 2020, 19:00 UTC [Forensic] icmp 프로토콜 패킷에서 PK를 발견했다. 하지만 하나의 패킷에 완전한 파일이 들어있는 것은 아니었다. ip.ttl==64 && icmp 패킷들을 보면 PK의 헤더와 푸터의 완전한 헥스값이 있다. 하나로 합치기 위해 tshark 툴을 사용하였다. 헥스값은 data.data에 들어있다. 추출한 내용을 txt로 저장한 후 HxD에서 확장자명을 zip으로 바꾸었다. zip파일에는 pw가 있었고, fcracker로 쉽게 알 수 있었다. pw = craccer Flag : shellmates{icmp_p@yl04d_4in't_us3l3ss_4ft3r_4ll_r1gHt?} [Misc] 문제를.. CTF-d_Multimedia #54 Emma Watson www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 건 엠마왓슨 사진 뿐이였다. Stegsolve로 확인해보니 gray bits에서 상단에 픽셀이 보인다. 파이썬으로 픽셀을 바이너리로 표현해보았다. from PIL import Image img=Image.open("E:/CTF-d/Multimedia/54/solved.bmp") result="" byte = "" for x in range(img.size[0]): pixel=img.getpixel((x,0)) if pixel== (255, 255, 255): byte+='0' else: byte+='1' print(byte) for i in range(0,len(byte),8): .. CTF-d_Multimedia #53 주어진 파일들을 이용해 KEY를 찾아라! www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 zip파일 압축을 풀면 공항사진 4장과 steghide.jpg 파일이 있다. 사진 속에 무언가 숨겨진 것 같아 steghide로 공항사진과 steghide.jpg를 넣어서 확인해 보았지만 pw를 모른다.. 구글 이미지에서 어느 국가 공항인지 알아보았다. 첫 번째 공항은 유독 검색해도 안 나와서 풀이를 보았다. www.airportal.go.kr/knowledge/airports/KfMain01.jsp?df_area=IATA%C4%DA%B5%E5 항공정보포탈시스템에 오신것을 환영합니다. www.airportal.go.kr 공항마다 IATA코드가 있다고 한다. 1. HAV 2. HKG.. CTF-d_Multimedia #52 pdf파일 암호를 잊어버렸습니다. www.ctf-d.com/challenges [DigitalForensic] with CTF www.ctf-d.com 주어진 mypassword.pdf파일에는 암호가 걸려있다. JohnTheRipper의 도구 중 pdf2john.pl을 사용하면 된다. >> ./pdf2john.pl mypassword.pdf > hash_pdf.hash >> ./john hash_pdf.hash password는 elephant이다. pdf를 열어보면 빨간색 박스가 있고, 플래그는 보이지 않는다. ctrl+a를 눌러보니 password 밑에 드래그가 된다. 복사하여 메모장에서 확인하면 플래그를 알 수 있다. Flag : ABCTF{Damn_h4x0rz_always_bypassing_my_PDFs} CTF-d_Network DefCoN#21 #7 출처)http://ctf-d.com/ [DigitalForensic] with CTF ctf-d.com 문제에서 계좌에 대해 언급해서 bank를 찾아보니 여러 주소가 있었다. 첫 번째 주소(www.bankofamerica.com)를 virus total에서 검색해보니 실제 존재하는 사이트였다. bankofamerica가 들어간 url은 총 3개인데 그중 두개의 도메인은 com이고, 다른 하나는 net으로 되어 있다. Follow tcp stream에서 확인해보니 why is my bank of america account not working이라고 적혀있었다. Flag : http://bankofamerica.tt.omtrdc.net 이전 1 2 3 4 5 다음
