보안맨

CTFlearn의 스물여섯번째 문제 이번 문제는 다시 점수가 낮은 포렌식 문제이다. 문제 제목에 snow가 들어가고 jpg 파일이 주어지는걸로 봐서 stegsnow 라는 도구를 사용하는 스테가노그래피 문제인줄 알았는데 아니었다.. https://hackingstudypad.tistory.com/266 이전에 풀었던 이 문제랑 별로 다를바 없는 문제이다. 점수만 10점 더 높다. 이게 문제에서 주어지는 Snowboard.jpg 파일이다. 참 정직한 제목이다. 주어진 Snowboard.jpg 파일을 HxD 라는 도구를 실행시켜, 드래그 앤 드랍한다. (HxD 다운링크 : https://mh-nexus.de/en/downloads.php?product=HxD20) 그러면 위처럼 16진수로 되어있는 값들이 보인..

이번 대회의 두번째 스테가노그래피 문제 비슷한 유형의 문제들을 이미 블로그에서 다룬적이 있었다. (https://hackingstudypad.tistory.com/149) 문제 설명을 읽어보면 Agent가 어떤 이미지를 줬는데 이미지 안에 어떤 정보가 있는지 찾을 수 있냐고 물어보고 있다. 문제에서 주어진건 Hidden.jpg 파일이다. 이것이 에이전트가 줬다는 Hidden.jpg 파일이다. 파일을 우클릭해서 속성을 눌러 자세히 탭으로 이동해보면 만든 이 칸에 이상한 글이 보인다. the password is shell 이라고 적혀있는데 이 문제가 스테가노그래피 문제이고, 비밀번호를 언급했다는점에서 steghide 라는 도구를 떠올렸다. 스테가노그래피 문제를 풀때 사용하는 다양한 도구 중, steghid..

CTFlearn 의 스물세번째 문제 이전까지 계속 30 ~ 60 점짜리 문제가 나오다가 갑지가 10점으로 점수가 확 떨어졌다. 잠깐 쉬어가는 느낌인듯 하다. CTFlearn 완전 초반에 풀었던 문제중에 이 문제랑 비슷한 문제가 있었다. (https://hackingstudypad.tistory.com/191) 똑같은 방법으로 풀 수 있는 문제이다. 문제에서 주어지는 RubberDuck.jpg 파일이다. 처음에는 이번 문제가 포렌식 카테고리이고, 제목이 Rubber Duck 이어서 USB Rubber Ducky 관련된 문제라고 생각했는데 전혀 아니었다.. ※USB Rubber Ducky 관련 문제는 이전에 풀이한 적 있으니 참고 (https://hackingstudypad.tistory.com/121) 그..

Root Me의 여섯번째 네트워크 포렌식 문제 풀이수가 꽤 많길래 쉬운 문제일거라고 생각했는데 생각보다 시간이 오래걸렸다. 문제의 목표는 password 를 찾는것이다. 문제에서는 ch15.txt 파일이 주어진다. ! ! Last configuration change at 13:41:43 CET Mon Jul 8 2013 by admin ! NVRAM config last updated at 11:15:05 CET Thu Jun 13 2013 by admin ! version 12.2 no service pad service password-encryption ! isdn switch-type basic-5ess ! hostname rmt-paris ! security passwords min-lengt..

이번 대회는 동물의숲 컨셉의 문제들이 많았다. 이번 문제에 등장하는 Tom Nook 역시 동물의 숲에 등장하는 NPC 이름이다. 한글판 이름은 너굴이다. 문제 설명을 읽어보면 너굴이는 운영보안쪽에서 일하고 있는 기술자인데 뭔가를 숨기고 있다고 한다. 너굴이 숨기려한것을 찾아달라는 문제이다. 문제에서 주어지는 파일은 SecretACBankStatement.zip 파일이다. 압축파일 안에는 BankStatement.pdf 파일이 들어있는데 비밀번호가 걸려있어서 압축을 풀 수 없다. 이럴때 사용하는게 John the Ripper 라고 하는 비밀번호 crack 해주는 무료 도구다. zip 파일 뿐만 아니라 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. kail 리눅스를 설치한다면 그 안에 기본적으로..

CTFlearn 워게임의 두번째 문제 이번 문제는 포렌식 문제이다. 1번문제는 39,000명 정도 풀었었는데 풀이수가 만 명이나 적은걸 보니 이 문제가 살짝 더 어려운가 보다. 문제 설명을 읽어보면 플래그가 어딘가에 숨어있으니 찾아 볼 수 있냐고 한다. 당연하지만 그렇게 어렵지 않게 찾을 수 있다. 주어진 URL을 클릭해서 들어가면 이렇게 작은 미니언 사진을 다운받을 수 있다. 다운받은 미니언 jpg 파일을 HxD 라는 도구를 실행시켜, 드래그 앤 드랍한다. (HxD 다운링크 : https://mh-nexus.de/en/downloads.php?product=HxD20) 그러면 이렇게 16진수로 되어있는 값들이 보인다. 이 16진수 값들은 jpg 파일의 raw data 이다. 참고로 저렇게 파일의 시작이..

아주 쉬운 스테가노그래피 문제 알고보면 진짜 쉬운 문제인데 괜히 머리굴리다가 푸는데 오래걸렸다. 문제 설명에 I don't need protection when I have Bernie 라고 적혀있는데 don't need protection이 아주 큰 힌트였다.. 문제파일로 주어지는건 Bernie.jpg 파일이다. jpg파일을 열어보면 위에있는 사진처럼 나온다. 사진에 있는 분은 버니 샌더스(Bernie Sanders)라는 미국의 정치인인데 미국 사람들이 여러가지 밈으로 만들어서 사용하고 있나보다. 템플릿 형태로 밈을 제작해주는 웹사이트도 있다...;; (https://imgflip.com/memegenerator/Bernie-I-Am-Once-Again-Asking-For-Your-Support) 어쨌..

네트워크 패킷 포렌식 문제 문제 설명을 읽어보면 배끼리 통신하는걸 가로챘다고한다. 여기서 메세지를 찾아낼 수 있냐고 물어본다. s2s.pcapng 패킷파일이 하나 주어진다. Wireshark 프로그램을 이용하면 pcapng 파일을 열어볼 수 있다. 조금 살펴보니 초반에는 딱히 의미있는 패킷이 보이지 않는 것 같다. 조금 내리다가 보니 수상한 패킷을 하나 발견했는데 프로토콜이 MQTT 라고 되어있다. MQTT는 Message Queuing Telemetry Transport 의 약자로 TCP 기반으로 동작하는 메세징 프로토콜이다. 보통 아두이노 같은 임베디드/IoT 장치에서 통신을 위해서 사용한다고 한다. 해당 패킷을 조금 더 자세히 보기 위해서 우클릭 - Follow - TCP Stream을 눌러준다. ..

쉬움 난이도였던 패킷 포렌식 문제 하지만 개인적으로 어려웠다. 자기들이 가지고 있는 기계에서 이상한 통신을 발견했다고 한다. strangetrafficchallenge.pcap 파일이 주어지고, 다른 문제랑 다르게 힌트도 있다. 힌트를 열어보면 alt,esc,1,2,3,4,5,6,7,8,9,0,-,=,backspace,tab,q,w, ... 라고 적혀있다. Wireshark로 pacp 파일을 열어볼 수 있다. 이번 대회에서 ICMP 부터 TCP 이번엔 UDP 까지 패킷들이 참 다양하게 나오는거 같다. (ICMP : https://hackingstudypad.tistory.com/75) (TCP : https://hackingstudypad.tistory.com/76) 패킷은 총 56개로 많이 없는편이다...

중급 난이도의 포렌식 문제 난이도가 중급이지만 너무 쉽게 풀려버렸다. 해당 문제에서는 chall.zip 이라는 압축파일이 하나 주어지게 된다. 압축을 풀어보면 이렇게 qcow2 라는 확장자를 가진 파일이 두개 나온다. 개인적으로 qcow라는 확장자를 처음봐서 검색해봤더니 QMEU에서 사용하는 디스크 이미지 파일 포맷이라고 한다. QMEW는 가상화 프로그램 중 하나이다. 디스크 이미지 파일이기 때문에 FTK Imager 프로그램으로 해당 파일을 열어볼 수 있다. File - Add Evidence Item - Image File 을 선택해주면 된다. 파일을 열어보면 Unrecognized file system 이라고 나오는데 오른쪽 하단을 보면 알겠지만 dirty bit, corrupt bit 이런식으로 ..