보안맨

쉬운 난이도의 네트워크 패킷 포렌식 문제 파일 하나로 세 개의 문제를 푸는 방식이다. 문제에서 주어지는것은 hack3rm4n_exp0sed.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금 내리다 보면 98번 패킷에서 Welcome to Pure-FTPd 라는 문구가 보인다. FTP 프로토콜을 이용해 어떤 파일같은걸 전송하려는듯 하다. 조금 내려가다보면 144번째 패킷부터 supersecure.7z 파일을 전송하고 있는것이 보인다. 해당 패킷을 우클릭 - Follow - TCP Stream 을 눌러서 확인해보면 이렇게 전송되는 Raw 데이터를 확인할 수 있다. 아래쪽에서 Show data as 를 Raw 로 설정해준 뒤 ..

쉬운 난이도의 네트워크 패킷 포렌식 문제 파일 하나로 세 개의 문제를 푸는 방식이다. 문제에서 주어지는것은 hack3rm4n_exp0sed.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금 내리다 보면 98번 패킷에서 Welcome to Pure-FTPd 라는 문구가 보인다. FTP 프로토콜을 이용해 어떤 파일같은걸 전송하려는듯 하다. 조금 더 내려서 313, 314 번째 패킷을 보면 FTP-DATA 로 butter.jpg 파일을 전송하는 것이 보인다. 해당 패킷을 우클릭 - Follow - TCP Stream 을 눌러서 확인해보면 이렇게 전송되는 Raw 데이터를 확인할 수 있다. 파일 앞쪽에 JFIF 라는 문구가 보이는..

조금 어려웠던 포렌식 카테고리의 문제 문제 설명을 읽어보면 PDF 파일이 플래그를 가지고 있는데 사전에 뭔가 작업을 해야 찾을 수 있다고 한다. 문제에서 주어지는 파일은 challenge.pdf 파일이다. 썸네일을 보면 알 수 있겠지만 해당 파일을 열어보면 아무런 내용이 없은 백지 상태이다. 해당 PDF 파일을 HxD 를 이용해 분석해봤다. PDF 파일을 열면 가장 먼저 앞에 %PDF 라는 문자가 있어야 하는데 이 파일은 그렇지 않고 앞에 require 'json' require 'cgi' require 'socket' =begin 라는 문자열이 적혀있었다. 파일 중간중간에도 보면 일반적으로 PDF 파일 안에 있을법한 내용이 아닌 다른 내용들이 눈에 띄었다. ruby-doc 를 찾아보니 모듈을 불러오는 ..

간단한 포렌식 문제 비슷한 유형의 문제를 이전에 포스팅 한 적이 있다. (https://hackingstudypad.tistory.com/184) 문제파일로 주어지는 것은 song_file.wav 파일이다. 음악파일이 주어졌을때 주로 사용하는 도구는 audacity 가 있겠지만 이번 문제에서는 다른 도구를 사용해서 풀 수 있었다. DeepSound 라는 도구를 사용했다. DeepSound 도구는 wav, flac, wma, ape 등등 음악파일에 AES-256 암호 알고리즘을 사용해서 Secret file을 숨길 수 있게 해주는 도구이다. 물론 역으로 복원하는것도 가능하다. 프로그램을 실행시킨 뒤에 wav 파일을 드래그 앤 드롭하면 아래쪽에 FLAG.rar 파일이 숨겨져 있다는 것을 알 수 있다. rar..

조금 어려웠던 포렌식 문제 네트워크 트래픽을 캡쳐했는데 악성 행위가 있는거 같다고 찾아내보라고 한다. 문제에서 주어지는 것은 colorfull.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금만 스크롤을 내려보면 FTP 프로토콜을 이용해 files.zip 파일을 내려받은 흔적을 확인할 수 있다. 해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러 자세한 내용을 확인해 본다. Show and save data as를 Raw로 선택해주고 Save as... 버튼을 눌러 데이터를 저장해준다. 데이터 맨 앞에 50 4b 03 04 로 시작하는걸 보니 ZIP 파일이 맞다. 저장한 files.zip 파일의 압축..

간단한 포렌식 문제 Malicious 1 이 있었는지 기억이 안나는데 일단 캡쳐해둔건 Malicious 2 밖에 없다. 별다른 문제 설명 없이 mycv.docx 파일만 덩그러니 주어진다. mycv.docx 파일을 열려고 보니 비밀번호가 걸려있었다. docx같은 오피스 파일 비밀번호를 crack 하기위해 John the Ripper 라는 도구를 자주 사용한다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. 칼리 리눅스에서 offic2john > hash 명령어로 hash 파일을 생성해준 다음 john 명령어로 John the Ripper 를 사용해 hash 파일의 원래 값을 찾아준다. 조금 더 확실하게 찾기 위해 강력한 wordlist 파일은 rockyou.txt 파일을 --wordlist 옵..

pdf와 관련된 포렌식 문제 난이도가 그렇게 어렵지 않은 문제이다. 이전에 Root Me에서 비슷한 문제를 풀이했었다. (https://hackingstudypad.tistory.com/340) 문제에서 주어지는 것은 There_is_a_flag_somewhere.pdf 파일이다. 안에 들어있는 내용은 위와 같은데, 이번 문제에서는 내용은 전혀 읽어볼 필요도 없다. 주어진 pdf 파일을 strings 명령어로 살펴보니 중간에 누가봐도 수상한 문자열들이 보였다. Li0t, Li4t, LS0u 등이 계속 반복되는데 뭔가 Base64로 인코딩 된 것 같았다. 이 데이터는 Root Me에서 했던것 처럼 PDFStreamDumper 라는 도구를 이용해서도 확인이 가능하다. CyberChef(https://gchq..

문제 제목처럼 마냥 단순하지만은 않았던 포렌식 문제 악랄한 문제였다.. 역시나 별다른 설명없이 simple_forensic.zip 파일 하나만 주어진다. zip 파일의 압축을 풀어보려 했더니 비밀번호가 걸려있다. zip 파일 비밀번호를 crack 하는데는 John the Ripper 라는 도구를 이용했다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john hash 명령어로 비밀번호를 crack 해주면 된다. 해당 파일의 비밀번호는 1337 이었다. 압축을 풀면 그 안에 file.zip 파일과 H&C.txt 파일 두개가 들어있다. file.zip 파일은 또 암호가 걸려있고, H&C.txt 파일이 해당 암호에 대한 힌트인것..

재미있었던 포렌식 문제 이번 문제 역시도 아무런 설명 없이 파일만 주어진다. 문제에서 주어진 signal.wav 파일을 열어보면 뭔가 외계인이랑 통신하는것 같은 삐리비릭~~~ 하는 소리가 들린다. 예전에도 관련된 문제를 다룬적이 있는데 이럴경우 SSTV 와 관련될 확률이 높다. (https://hackingstudypad.tistory.com/8) SSTV는 저속 주사 텔레비전의 약자로 아마추어 무선 운영가가 주로 사용하는 영상 전송 방법이다. 구글 플레이스토어에 SSTV 라고 검색해보면 관련된 어플이 하나 나온다. Robot36 - SSTV Image Decode 라는 어플을 설치해서 이용하면 된다. 어플을 실행시킨 상태로 휴대폰에 singnal.wav 파일의 소리를 들려주면 이렇게 그림파일이 하나 생..

푸는데 조금 시간이 걸렸던 포렌식 문제 별다른 설명없이 flag.png 파일 하나만 주어진다. 문제 제목이 GNP 인데 뭔가 PNG 를 거꾸로 쓴 느낌이다. 이 부분을 잘 기억해야 한다. 주어진 flag.png 파일을 열어보면 이런 그림이다. 대회 주최측 로고 같은게 그려져 있고 그 외에 특이한 점은 없다. 해당 파일을 HxD 를 이용해 열어보니 이상한 점을 바로 확인할 수 있었다. 파일의 맨 앞부분이 FF D8 FF E0 로 시작하는것을 볼 수 있는데 이건 JPG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 그러니까 확장자는 .png 인데, 알고봤더니 JPG 파일이라는 것이다. 그럼 문제 제목에서 PNG 를 거꾸로 쓴듯한 GNP 는 무엇을 의미할까? 컨트롤 + F 키늘 룰러 검색 기능을 이용해 ..