보안맨

247CTF 에서 제공하는 EASY 난이도의 리버싱 문제 문제에서 제공되는 파일은 encrypted_password 이다. 해당 파일을 리눅스 환경에서 실행시키면 Enter the secret password : 라는 문구가 출력되고 뭔가 입력을 했을때, 조건과 다르면 바로 종료가 된다. IDA 도구를 이용해 해당 바이너리를 연 뒤 main 함수에서 F5를 눌러 수도코드를 보면 위와 같은 내용이 들어있다. s 라는 변수에 875e9409f9811ba8560beee6fb0c77d2 라는 값이 저장되고, s2 에는 0x5A53010106040309, 0x5C585354500A5B00, 0x555157570108520D, 0x5707530453040752 값이 들어있는것이 보인다. for 문에서 s2와 s를 ..

247CTF에서 제공하는 EASY 난이도의 리버싱 문제 리버싱이라고 부르기 민망할 정도로 쉬운 문제이다. 문제에서는 the_more_the_merrier 라는 바이너리 파일이 하나 주어진다. ELF 파일이길래 KALI 로 옮겨서 실행해 봤더니 Nothing to see here... 라는 문구만 나오고 아무일도 벌어지지 않는다. 실행해서 플래그를 찾는게 아니라 바이너리 내부 어딘가 숨겨져 있는 느낌이었다. HxD로 열어서 Nothing to see here 부분 근처를 찾아봤더니 한글자씩 띄엄띄엄 적혀있는 플래그를 찾을 수 있었다. 중간에 있는 00 00 00 공백을 모두 지우고 하나로 합쳐 제출하면 문제를 해결할 수 있다.

247CTF에서 제공하는 네트워크 패킷 분석과 관련된 문제 기존에 블로그에서 다뤘던 문제 유형과 크게 다르지 않은 쉬운 문제이다. (https://hackingstudypad.tistory.com/495) 문제에서 주어지는 것은 error_reporting.pcap 파일이다. 해당 파일을 Wireshark 로 열어볼 수 있는데 열어보면 맨 위에 하나만 ICMP request 패킷이고 나머지는 ICMP reply 패킷인 것을 볼 수 있다. reply 패킷에 전송될 데이터가 숨겨져 있는 느낌이다. 두번째 패킷을 선택해 data.data 영역을 보면 ff d8 ff e0 로 시작하는것을 볼 수 있다. FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. JPG 파일을..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. G-1 문제는 이전 F-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/630) G-1 주어진 네트워크 로그 분석을 통해 유출된 정보를 복원하고, 플래그를 획득하여라 G-1 문제에선 네트워크 로그를 분석해 유출된 정보를 분석해 플래그를 찾는것이 목표이다. 이번 문제의 플래그는 C:\Logs 폴더의 2.pcapng 에..

CTFlearn에서 제공하는 포렌식 문제 이번엔 이미지 파일과 암호에 관련된 문제이다. 요게 문제에서 주어지는 이미지이다. 반지의 제왕에 나오는 김리이다. HxD로 해당 파일을 열어보니 열자마자 Base64 인코딩된 데이터가 엄청나게 보인다. CyberChef() 에서 디코딩을 해보니 뭔가 Readme 처럼 보이는 내용이 나왔다. 이번 문제는 RubberDuck, Snowboard, PikesPeak, GandalfTheWise 와 같은 문제들을 풀고오면 좋다고 한다. 물론 블로그에서 이미 다 풀이했던 문제들이다. (RuuberDuck : https://hackingstudypad.tistory.com/266) (Snowboard : https://hackingstudypad.tistory.com/277..

Root Me에서 제공하는 xor 관련 암호학 문제 제목이 Known plaintext 인데 Known plaintext란 한글로 기지평문(공격)으로 공격자가 어떤 암호문과 그에 대한 평문을 알고 있을때 해독하는 방법이다. 문제에서는 ch3.bmp 파일이 주어진다. 파일이 깨진듯 내용은 보이지 않는다. HxD로 파일을 열어보면 맨 앞부분이 24 2C로 시작하는 것을 볼 수 있다. BMP 파일은 기본적으로 42 4D로 시작되어야 한다. 문제 제목이 XOR이니 어떤 키값으로 XOR 되어서 파일 시그니처가 변했고, 그에 따라 윈도우에서 BMP 파일을 인식하지 못하는 것이다. 파일 시그니처로 알고있는 42 4D 가 바로 평문을 알고있는 것이다. CyberChef(https://gchq.github.io/Cybe..

CTFlearn에서 제공하는 Hard 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 보면 어떤 사진이 MIXER 에 의해 뒤죽박죽이 되어서 잘 동작하지 않는다고 한다. 이 사진을 다시 복구해달라는게 문제의 요구사항이다. 문제에서 주어지는 파일은 fl4g.jpeg 파일이다. 해당 파일을 열어볼려고 하면 파일이 깨진듯 오류가 나면서 열 수가 없다. 해당 파일을 HxD로 열어보면 바로 뭔가 이상한걸 알아챌 수 있다. JPG 파일은 무조건 시작할때 FF D8 ~ 로 시작을 한다. 이런걸 파일 시그니처 라고 하는데 문제에서 같이 주어진 위키피디아 힌트 페이지에서도 확인할 수 있다. 자세히 보면 원래는 FF D8 FF E0 00 10 4..

오랜만에 포스팅하는 CTFlearn의 문제 Medium 난이도의 포렌식 문제이다. 문제에서 주어지는 The-Keymaker.jpg 파일은 이렇게 생겼다. HxD를 이용해 열어보면 앞부분에 뭔가 수상한 내용들이 보인다. 보기좋게 편집하면 이렇게 생겼는데, 맨 위에 있는건 당연히 가짜 플래그이고 두번째줄부터 뭔가 Base64 인코딩된 내용이 보인다. CyberChef(https://gchq.github.io/CyberChef) 에서 Base64 디코딩을 해봤다. 두번째줄부터 네번째 줄까지는 문제에 대한 힌트였다. 내용을 보면 AES-256-CBC를 이용해 flag 를 암호화 했고, iv 로는 SOF0을, key 로는 SOS 를 사용했다고 나와있다. mmtaSHhAsK9pLMepyFDl37UTXQT0CMltZ..

정말 오랜만에 업로드 해보는 Root Me문제 JPG 파일과 관련된 스테가노그래피 문제이다. JPG 파일에서 숨겨진 비밀번호를 찾으면 된다. 문제에서 주어지는것인 이 파일이다. 디카프리오가 나오는 사진인데 HxD 로 파일을 열어보면 이렇게 나온다. JPG 파일의 시그니처인 FF D8 FF E0 가 맨 앞에 나오고, 잠시 뒤에 다시한번 시그니처인 FF D8 FF E0 가 나온 뒤 그뒤에 We need to go deeper 라는 문장이 나온다. 저 부분이 썸네일 부분이다. 두번째 FF D8 FF E0 부터 파일의 맨 끝까지 복사한 뒤, 새로만들기에 붙혀넣기 해서 JPG 파일로 저장해주면 썸네일이 추출되면서 그 안에 있는 플래그를 찾을 수 있다. 온라인으로도 풀 수 있다. Forensically 라는 사이트..

MISC 로 분류된 문제인데 포렌식 쪽으로 분류해도 될것 같다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제에서 주어지는 파일은 admiral_shark.pcapng 이다. Wireshark로 pcapng 파일을 열어볼 수 있다. 조금 내리다보니 TCP 패킷이 보여서 우클릭 - Follow - TCP Stream 을 해보았다. TCP Stream 의 내용을 보니 뭔가 비밀 데이터를 주고받는 느낌이었다. 조금 더 밑으로 가다보니 패킷 Length 가 다른것보다 큰 패킷이 보여서 해당 패킷을 똑같이 우클릭 - Follow - TCP Stream 을 해보았다. 대충 살펴보니 뭔가 압축된 파일인것 같았다. 일단 해당 데이터의 Show data as 를 Raw 로..