보안맨

CTFlearn 의 스물세번째 문제 이전까지 계속 30 ~ 60 점짜리 문제가 나오다가 갑지가 10점으로 점수가 확 떨어졌다. 잠깐 쉬어가는 느낌인듯 하다. CTFlearn 완전 초반에 풀었던 문제중에 이 문제랑 비슷한 문제가 있었다. (https://hackingstudypad.tistory.com/191) 똑같은 방법으로 풀 수 있는 문제이다. 문제에서 주어지는 RubberDuck.jpg 파일이다. 처음에는 이번 문제가 포렌식 카테고리이고, 제목이 Rubber Duck 이어서 USB Rubber Ducky 관련된 문제라고 생각했는데 전혀 아니었다.. ※USB Rubber Ducky 관련 문제는 이전에 풀이한 적 있으니 참고 (https://hackingstudypad.tistory.com/121) 그..

Root Me에서 제공하는 첫번째 메모리 포렌식 문제 무슨일인지 level 1 은 없고 level 2 부터 시작한다. 내용을 보면 원래는 level 1이 있었는데 알수 없는 이유로 삭제한것 같다. 문제 설명을 읽어보면 메모리 덤프 파일에서 워크스테이션의 hostname을 찾는것이 이번 문제의 목표이다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://hackingstudypad.tistory.com/188 [SANS SIFT Workstation] 최신버전 다운로드 및 설치방법 SANS SIFT Workstation 최신버전 다운로드 및 설치 방법에 대해서 알아보자. SIFT는 Sans Investigative Forensics T..

CTFlearn의 열여덟번째 문제 문제 제목이 07601 인데 이게 대체 뭘까 싶어서 검색해봤더니 미국 뉴저지의 우편번호라는 검색결과가 가장 많이 나온다. 우편번호가 영어로 zip code 인데 아마 zip 때문에 제목을 그렇게 붙였나보다. 문제에서 주어진 주소로 접속해보면 AGT.png 파일을 다운로드 받을 수 있다. 아메리카 갓 텔런트 캡쳐한 화면인데 HxD 프로그램을 이용애 AGT.png 파일을 열어보면 맨앞이 FF D8 FF E0 로 시작하는걸 볼 수 있다. 이렇게 파일 맨 앞에 써있는걸 파일 시그니처 라고 하는데 FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 주어진 파일은 PNG 파일인척 하는 JPG 파일이었던 것이다. JPG 파일의 또다른 특징은 끝날때 무조건 FF D9 로 끝..

중국에서 진행한 CTF 대회의 문제 대회에서 가장 쉬운 문제들 중 하나였는데 생각보다 애를 많이 먹었다. MISC로 분류되어있었는데 포렌식쪽으로 봐도 상관없을듯 하다. 문제 설명에 보면 힌트가 적혀있는데 주어진 pcap 파일을 이용해서 문제를 풀 수 있고, 어떤 파일의 비밀번호는 6자리이며 첫번째 두 자리는 DE 라고 친절히 알려주고 있다. 문제에서 주어지는 파일은 Misc_Chowder.pcap 파일이다. pcap 파일은 Wireshark 프로그램을 이용해서 열어볼 수 있다. 패킷은 3000개 정도 있는데 이정도면 별로 많은편은 아니다. 천천히 내려보다보면 중간부터 HTTP 프로토콜을 이용해 /test/upload_file.php 경로에 jpg 파일을 업로드 하는것이 보인다. 와이어샤크에서 File -..

CTFlearn의 열한번째 문제 이전 문제가 Medium 이라서 계속 중간 난이도 문제가 나올 줄 알았는데 다시 Easy로 돌아왔다. 문제설명을 읽어보면 주어지는 파일 안에 다른 파일이 숨겨져 있는데, 그걸 추출할 수 있냐고 물어본다. 아래쪽에 적혀있는 URL로 접근해보면 PurpleThing.jpeg 파일을 다운로드 받을 수 있다. 이게 주어진 사진이다. 문제에서 의도하는 방식으로 풀면 너무 쉽게 끝나서 다른 방법으로 먼저 풀어보려고 한다. 주어진 파일을 HxD 도구를 이용해 열어본다. 파일이 89 50 4E 47 으로 시작하는것을 알 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 확장자는 jpeg 였는데 사실은 PNG 파일이었다. 이런걸 파일 시그니처 라고 한다. 또한 PNG..

SharkyCTF의 포렌식 첫번째 문제 문제 설명을 읽어보면 루피가 자기 사진을 가지고 놀았는데 그 뒤로 사진 파일이 열리지 않는다고 도와달라 한다. 여기서 루피는 원피스에 나오는 그 루피가 맞다. 주어지는 문제파일은 7uffy.png 파일이다. 7uffy.png 파일을 열어보면 사진파일이 깨진듯 '이 파일 형식은 지원되지 않는 것 같습니다.' 라는 문구가 뜬다. 문제를 풀기전 PNG 파일의 구조를 알아보자. 모든 PNG 파일은 89 50 4E 47 0D 0A 1A 0A 로 시작한다. 이런걸 파일 시그니처 라고 하는데 아무 PNG 파일이나 골라서 HxD 프로그램으로 열어보면 이렇게 파일의 맨 앞에 89 50 4E 47 0D 0A 1A 라고 적혀있는것을 볼 수 있다. 이걸 디코딩한 값이 ‰PNG 이다. 모..

간단한 포렌식 문제이다. 문제에 그 어떤 설명도 없다. 문제파일로 주어지는것은 ctf.img 파일이다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager 를 실행시킨 후 Add Evidencd Item 버튼을 눌러 Image File을 선택해준다. Select File에서 문제에서 주어진 ctf.img 파일을 선택해주고 Finish 버튼을 눌러주면 된다. 그럼 이렇게 이미지 파일이 로드되면서 ext4 파일시스템을 사용하는..

두번째 포렌식 문제 아직까진 2만명이나 푼걸보니 할만한것 같다. 문제 제목으로 보아 뭔가 리눅스의 ls 명령어와 관련된 문제인듯 하다. 문제 설명을 읽어보면 zip 파일을 받아서 숨겨져 있는 플래그를 찾으면 된다고 한다. 문제에서 주어진 링크로 들어가면 The Flag.zip 파일을 받을 수 있다. 리눅스 환경에서 zip 파일 압축을 풀어보면 이렇게 The Flag 폴더 안에 __MAXOSX 폴더와 The Flag 폴더가 있는것을 볼 수 있다. The Flag 폴더로 들어가보면 The Flag.pdf 파일이 있는것이 보이는데 pdf 파일을 열려고 하면 이렇게 비밀번호가 걸려있어 내용을 볼 수가 없다. 이번엔 터미널을 실행시켜서 확인해본다. The Flag/The Flag 경로로 접근해서 ls 명령어를 입..

pdf 파일과 관련된 포렌식 문제 문제 설명을 읽어보면, classified documnet를 유출했는데, 가려진 프로젝트의 이름을 알아낼 수 있겠냐고 물어본다. 문제파일로 주어지는것은 sf703.pdf 파일이다. pdf 파일을 열어보면 이렇게 한장짜리 문서가 나온다. 유출한 TOP SECRET 문서인데 가운데에 보면 Project : 라고 되어있어 프로젝트의 이름을 알 수가 없는 상태이다. sf703.pdf 파일을 리눅스 환경으로 옮겨 strings 명령어를 이용해 살펴본다. strings 으로 입력하면 해당 파일 내에 사람이 읽을 수 있을법한 문자열들을 출력해 준다. 출력된 결과를 내리다보면 눈에 띄는 부분이 있다. 24번 오브젝트에 가보면 뭔가 이렇게 길게 Base64로 인코딩된 문자열이 나오게 된..

CTFlearn 워게임의 두번째 문제 이번 문제는 포렌식 문제이다. 1번문제는 39,000명 정도 풀었었는데 풀이수가 만 명이나 적은걸 보니 이 문제가 살짝 더 어려운가 보다. 문제 설명을 읽어보면 플래그가 어딘가에 숨어있으니 찾아 볼 수 있냐고 한다. 당연하지만 그렇게 어렵지 않게 찾을 수 있다. 주어진 URL을 클릭해서 들어가면 이렇게 작은 미니언 사진을 다운받을 수 있다. 다운받은 미니언 jpg 파일을 HxD 라는 도구를 실행시켜, 드래그 앤 드랍한다. (HxD 다운링크 : https://mh-nexus.de/en/downloads.php?product=HxD20) 그러면 이렇게 16진수로 되어있는 값들이 보인다. 이 16진수 값들은 jpg 파일의 raw data 이다. 참고로 저렇게 파일의 시작이..