보안맨

TeamH4C에서 진행했던 CTF의 첫번째 포렌식 문제 이번 문제는 아주 쉬운 편이다. 문제에서 주어지는 Hangul.png 파일을 열어보면 이렇게 생겼다. 특별한거 없어 보이는 PNG 파일이다. 해당 파일을 HxD 도구를 이용해 열어본다. 파일이 89 50 4E 47 으로 시작하는것을 알 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 이번엔 HxD에서 스크롤을 끝까지 내려 파일의 맨 끝으로 이동해 봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 파일이 끝나지 않고 뒤에 50 4B 03 04 ~ 로 ..

https://hackingstudypad.tistory.com/341 지난 포스팅에 이어서 계속 쓰는 Matryoshka 문제 지난번 마지막으로 생성했던 qr.gz 파일 내에서 압축되어 있는 qr 이라는 이름의 파일을 발견했었다. 열어보니 숫자 1과 알파벳 엘(l) 로 이루어진 85x85 크기의 텍스트 파일인데 두 문자가 마구 섞여서 뭔지 알아보기가 힘들다. 하지만 파일의 이름이 qr 이니 이전 png 파일처럼 하나는 흰색, 하나는 검은색을 의미하는 것일거라고 생각했다. Sublime에서 l 을 □ 로, 1을 ■ 로 한번 바꿔봤더니 뭔가 QR코드 같이 생긴 그림이 보였다. 다음으로 이걸 진짜 그림으로 바꿔주는 작업을 했다. from PIL import Image qr = open('qr', 'r') n..

포렌식 문제 아주 어렵고 짜증나는 문제였다.. 러시아의 마트료시카 인형처럼 풀어도 풀어도 계속 끊임없이 문제들이 계속 나왔다. 풀이가 너무 길어서 포스팅 두개로 나눠서 절반씩 올릴 예정이다. 문제파일로 주어지는건 matryoshka.png 파일이다. 뭐가 빽빽하게 그려져 있는데 확대해서 보면 이런 딸기 그림이다. 이게 무슨 의미인지 알아내는데 엄청나게 시간이 걸렸다.. 자세히 보면 딸기의 종류가 두 개 이다. 두 딸기는 서로 다른 방향을 바라보고 있는데, 컴퓨터 관련된 문제이니 이 딸기가 0과 1 같은 의미일거라고 생각했다. 그래서 우선 이 0과 1 딸기들이 어떻게 배치되었는지 알아보기로 했다. matryoshka.png 파일의 속성을 보면 가로 세로 각각 6050 픽셀인 것을 확인할 수 있다. 수작업으..

이번엔 조금 쉬운 문제들이라 같이 풀이를 써본다. 둘다 스테가노그래피와 관련된 문제이다. 첫번째 문제는 echoesofreality.wav 파일이 주어진다. 해당 파일을 재생시켜보면 삐비비비빅 삐삐삐 하는 소리가 들린다. 어떤 화음이나 규칙성이 없이 그냥 무작위로 나오는 느낌이다. CTF에서 음악파일이 주어지면 보통 Audacity 라는 프로그램을 많이 쓴다. https://audacity.en.softonic.com/download Audacity Plenty of features to edit audio files audacity.en.softonic.com Audacity는 위 링크에서 다운로드 받을 수 있다. Audacity를 실행시키면 이런 화면이 나온다. 소리 편집기라고 생각하면 된다. 음악파..

간단한 포렌식 문제이다. 문제 제목이 세븐일레븐인데 7z 파일을 제공해서 그런건가 싶다. 문제에서 주어지는 것은 challenge.7z 파일이다. 바로 압축을 풀어봤는데, 안에는 password.txt 파일 하나만 들어있다. password.txt 파일의 내용은 이것이 다다. give_me_the_flag 라고 적혀있다. 여기서 꽤 오랜시간이 걸렸는데 txt 파일을 아무리 살펴봐도 저 문장 외에는 아무것도 특별한게 없었기 때문이다. 문제는 challenge.7z 파일 그 자체였다. binwalk 명령어로 확인해보니 7z 파일 안에 또다른 7z 파일이 숨어있었다. dd 명령어로 해당 파일을 한번 추출해 봤다. if 로 읽을 파일을 지정해주고, bs 는 한번에 읽을 바이트를 지정해주는 것이다. 1로 지정하면..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 랜섬웨어에 감염당한 시스템의 이미지를 분석하는 것이다. 문제파일로 주어지는것은 cce_final_mission_7_8.img 파일이다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 간단한 네트워크 포렌식 문제이다. 문제에서 주어지는 파일은 dump.pcap 파일이다. pcap 파일은 패킷캡쳐 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 와이어샤크로 열면 이런 화면이 나온다. 패킷 갯수가 609개 밖에 없는 작은 파일이다. 조금 내리다 보니 13.124.89.133 이라는 호스트에서 뭔가를 다운로드 받고 있는게 보였다. 어떤걸 다운로드 받았는지 추출해 보기로 했다. File - Export O..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. # 이메일 첨부파일을 분석하여 C2 서버의 주소를 알아내라 이번 문제는 Guide_to_free_testing_of_new_viruses.eml 라는 eml 파일을 이용해 푸는 문제이다. eml 파일은 마이크로소프트에서 개발한 이메일 포멧으로 OutLook 을 이용하면 바로 열어볼 수 있다. eml 파일을 OutLook을 이용해 열어보면 이런 내용이 나온다. 새로운 바이러스를 테스팅 하는 가이드라면서 메일을 보냈는데 form.rtf 파일이 첨부..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. #1 문서형 악성코드를 분석하여 플래그를 찾아라 첫번째는 문서형 악성코드를 분석해 플래그를 찾는 것이다. Amazing_information_about_a_infectious_diseases.eml 라는 제목의 eml 파일이 주어진다. eml 파일은 마이크로소프트에서 개발한 이메일 포멧으로 OutLook 을 이용하면 바로 열어볼 수 있다. eml 파일을 OutLook을 이용해 열어보면 이런 내용이 나온다. 대회당시 한창 코로나19 초기여서 민감..

2020년에 진행되었던 국정원 주최 사이버공격방어대회 묵혀놨던 Write Up을 이제야 포스팅 해 본다. 이번에 풀이할 문제는 Webpacket 문제이다. 문제에서 주어지는 파일은 packet.pcapng 파일이다. pcapng 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 패킷이 약 95,000개로 좀 많아서 어디부터 봐야하나 고민하다가 일단 File - Export Objects - HTTP 로 웹 접속흔적을 살펴보기로 했다. 들어가보니 여러 흔적들이 나오는데, 그중 유일하게 Hostname이 IP 주소로 되어있고, 포트도 80이나 443이 아닌 4423 이라는 이상한 포트를 사용하는 호스트를 발견했다. login.js 파일을 가..