보안맨

간만에 재미있는 포렌식 문제였다. 문제 자체 컨셉이 어몽어스와 관련되어 있어서 재미있었던거 같다. 문제 제목인 Sussy도 어몽어스를 할 때 임포스터로 의심되는 사람에게 하는 말이라고 한다. (Suspect / 용의자) 문제 파일로는 affected-folder 와 README.txt 파일이 주어진다. README.txt 파일을 열어보면 컨셉에 충실하게 어몽어스 캐릭터가 그려져 있고, 밑에는 문제 풀 때 주의사항이 나열되어 있다. - 인터넷과 연결되어 있을 것 - 악성코드는 오로지 그것이 존재하는 폴더에만 영향을 미친다. - 폴더로 들어가서 chmod +x ./sussy-malware 명령어로 바이너리 실행 권한을 부여해라 - 행동을 관찰하기 위해 파일 탐색기를 이용해라 - 악성코드의 행위를 보여주기 위..

아주 쉬운 스테가노그래피 문제 알고보면 진짜 쉬운 문제인데 괜히 머리굴리다가 푸는데 오래걸렸다. 문제 설명에 I don't need protection when I have Bernie 라고 적혀있는데 don't need protection이 아주 큰 힌트였다.. 문제파일로 주어지는건 Bernie.jpg 파일이다. jpg파일을 열어보면 위에있는 사진처럼 나온다. 사진에 있는 분은 버니 샌더스(Bernie Sanders)라는 미국의 정치인인데 미국 사람들이 여러가지 밈으로 만들어서 사용하고 있나보다. 템플릿 형태로 밈을 제작해주는 웹사이트도 있다...;; (https://imgflip.com/memegenerator/Bernie-I-Am-Once-Again-Asking-For-Your-Support) 어쨌..

포렌식 문제 특별한 설명 없이 sensitive 라는 바이너리 파일 하나만 주어진다. 문제 파일인 sensitive 파일이다. 확장자도 없는 그냥 바이너리 파일같아 보이는데 HxD 프로그램으로 열어보면 PDF 파일인걸 바로 알 수 있다. 자세히보면 보통 PDF 파일과 조금 달라 보이는데 파일을 구성하는 모든 문자열 사이에 스페이스(\x20)가 들어가 있는걸 볼 수 있다. 참고로 일반적인 PDF 파일은 이렇게 생겼다. 여기서 모든 문자 사이에 스페이스바를 눌러 넣은 것이다. 이런 문제는 아주 간단하게 PDF 파일을 열어서 눌러진 스페이스바를 다 없애주면 된다. f1 = open('sensitive', 'rb') read = f1.read()[::2] f2 = open('output.pdf', 'wb') f..

간단한 스테가노그래피 문제였다. CoolCoin.png 라는 이름의 png 파일이 하나 주어진다. CoolCoin.png를 열어보면 이런 사진이 나온다. 참고로 코인에 그려진 사람은 에라토스테네스이다. 교과서에서 지구 둘레를 최초로 계산한 사람 또는 에라토스테네스의 체를 이용해 소수를 찾아내는 방법을 고안한 사람으로 나오는 고대 그리스의 수학자이다. 스테가노그래피 문제에서 PNG나 BMP 파일이 주어질 경우 유용하게 쓸 수 있는게 zsteg 라는 도구이다. sudo gem install zsteg 명령어로 다운로드 받을 수 있다. zsteg -a CoolCoin.png 이렇게 -a 옵션을 줘서 zsteg를 실행시키면 가능한 모든 경우의 수를 테스트 해준다. 여러가지 경우의 수 중 하나에서 플래그가 출력되..

스테가노그래피 문제 적당한 툴만 사용할 줄 알면 아주 쉬운문제였는데 조금 해맸다. 문제파일로 colors.jpg 파일이 주어지는데 해당 파일을 열어보면 이렇게 생겼다. 이 문제를 풀기전에 https://hackingstudypad.tistory.com/125 [UMDCTF] Padme Twice - 포렌식 / 스테가노그래피 / PIL 재미있는 문제였다. 실제 대회에서는 Crypto로 분류된 문제였으나 뭔가 포렌식적인 요소가 있는거 같아서 포렌식으로 분류를 해봤다. 사실 이런 문제들은 코에 걸면 코걸이 귀에 걸면 귀걸이다. hackingstudypad.tistory.com 요문제를 먼저 풀었는데 주어진 이미지 생긴게 비슷해서 저거 풀이했던것처럼 이것저것 해보다가 시간을 많이 날렸다.. 보통 이런 이미지파일..

재미있는 문제였다. 실제 대회에서는 Crypto로 분류된 문제였으나 뭔가 포렌식적인 요소가 있는거 같아서 포렌식으로 분류를 해봤다. 사실 이런 문제들은 코에 걸면 코걸이 귀에 걸면 귀걸이다. 다운로드 링크를 클릭하면 이미지 파일을 두개 받을 수 있다. 이렇게 지지직 하는 이미지 파일 두개가 주어지는데 자세히 보면 어렴풋이 어떤 여성의 실루엣이 보인다. 뭔가 하나의 이미지를 두개로 쪼개놓은 느낌이다. 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PI..

스테가노래피 문제이다. Luna.tar.xz 라는 이름의 압축파일이 하나 주어진다. 압축파일 확장자가 tar.xz 인데 윈도우에서 7z이나 winrar 같은 프로그램으로 압축을 풀어도 되고 리눅스에서 위 사진처럼 tar -xvf 명령어를 이용해서 압축을 풀어도 된다. 압축을 풀어주면 위처럼 png 파일 하나와 이름이 엄청나게 긴 zip 파일이 나오게 된다. png 파일은 아무것도 없는 그냥 하얀 사진이다. zip 파일은 압축을 풀려고 시도하면 이렇게 비밀번호가 걸려있는걸 볼 수 있다. 아무것도 안보였던 1.png 파일이 수상해서 notepad++ 을 이용해 1.png 파일을 열어보았다. 그랬더니 이미지 파일의 메타데이터가 있는 부분에 이렇게 비밀번호가 적혀있는걸 볼 수 있었다. 복사해서 zip 파일에 비..

디스크 포렌식 문제 문제 설명을 읽어보면 주어진 파일을 고쳐서 플래그를 달라고 한다. 주어지는 문제파일은 Corrupted.001 파일인데 확장자가 001인 파일은 디스크 이미지 파일이다. 이렇게 다운받으면 압축파일로 인식이 된다. 보통 이런 001 파일은 바로 압축을 해제하지 않고, 전용 프로그램을 이용해 살펴본다. 무료도구인 FTK Imager 를 사용해본다. (https://accessdata.com/product-download/ftk-imager-version-4-5) FTK Imager를 실행시켜서 lmage File을 선택해준다. 그런다음 주어진 Corrupted.001 파일를 선택해주고 Finish 버튼을 눌러주면 된다. Corrupted.001 파일을 열어보면 말 그대로 파일이 깨졌기 때..

이번 대회 두번째 포렌식 문제이다. 문제 설명을 읽어보면 파이어폭스 브라우저를 사용하면서 어딘가에 무언가를 써놓았다고 한다. 아마 그 무언가는 플래그일 것이다. 플래그는 두 부분으로 나누어져 있다고 한다. 이렇게 FireFox 같은 브라우저 사용기록에서 흔적을 찾는것을 웹 브라우저 포렌식이라고 부른다. 사용자가 방문한 사이트, 웹 캐시, 쿠키, 다운로드 파일 등등 으로 인터넷으로 어떤 일을 했는지 알아내는 것이다. 문제파일로 Firefox.zip 파일이 주어진다. 해당 파일의 압축을 풀어보면 이렇게 파일과 폴더가 저장되어 있다. 파이어폭스 브라우저를 사용할때 중요한 정보들은 보통 세번째에 있는 Profiles 폴더 안에 저장된다. Profiles 폴더로 들어가면 안에 수많은 파일들이 존재하는걸 볼 수 있..

Secure Creds 라는 포렌식 문제 문제 설명을 읽어보면 lsass.exe 프로세스를 덤프를 떴는데, 이 덤프 파일에서 비밀번호를 찾을 수 있냐고 물어본다. lsass란 Local Security Authority Subsystem Service 의 약자로 로컬 보안 인증 하위 시스템 서비스라고 부른다. 주된 역할은 윈도우 환경에서 컴퓨터나 서버에 접속하는 사용자들의 로그인을 검사하고, 비밀번호 변경을 관리하는 일을 한다. Ctrl + Alt + Delet를 눌러 작업관리자를 켜보면 이렇게 돌아가고 있는것을 볼 수 있다. 문제에서는 lsass.zip 파일이 주어지는데 압축을 풀면 이렇게 안에 lsass.DMP 파일이 들어있다. 보통 윈도우에서 이런 계정, 인증과 관련된 문제를 풀때 Mimikatz ..