보안맨

CTFlearn의 여든 일곱번째 문제 계속해서 Hard 난이도의 문제가 나와서 부담스러워 지기 시작했다. 이번엔 포렌식 문제이다. 문제에서 주어지는 것은 hereisyourflag.m4a 파일이다. 파일을 클릭해서 재생시켜보려 했더니 이런 문구가 떴다. 파일이 온전하지 않은 상태인듯 하다. 일단 HxD로 열어봤다. 아직까진 뭐가 문제인지 모른다. https://www.file-recovery.com/m4a-signature-format.htm MPEG4 Audio Signature Format: M4A,M4B,M4P Documentation and Recovery Examples MPEG-4 Part 14 Audio (M4A,M4B,M4P) Format & Recovery Example M4A is a ..

WAV 파일과 관련된 스테가노그래피 문제 문제 배점은 낮았는데 풀이 수가 엄청 적었다. 푸는 방법만 알면 쉽게 해결할 수 있는데 문제는 그 방법이 아주 잘 알려지지 않은 방법이었다는것.. 문제에서 주어지는 파일은 flag1.wav 파일이다. 파일을 재생시켜 보면 지이이잉 지이이잉 하는 귀아픈 소리가 들린다. 처음엔 wav 파일이라 기존에 문제 풀었던것 처럼 Audacity 나 DeepSound 도구를 이용해 풀어보려 했다. 하지만 해당 툴들로는 의미있는 결과를 얻을 수가 없었다. https://dood.al/oscilloscope/ https://dood.al/oscilloscope/ Set "Audio Volume" to zero to avoid feedback. Stereo input may not ..

PIL 라이브러리를 이용해 풀 수 있는 포렌식 문제 문제 제목이 참 장황하다. 문제 제목에서 pixel 이라는 단어를 통해 간접적으로 힌트를 주고 있다. 문제에서 제공되는 pip.png 파일은 이렇게 생겼다. 369 * 369 사이즈의 노이즈 처럼 생긴 사진이다. 아까 언급한것 처럼 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL import Image img = Image.open('pip.png').convert('RGB') xlen = 3..

HackTheBox 에서 제공하는 Easy 난이도의 포렌식 문제 문제 설명을 읽어보면 채용 담당자가 이상한 메일을 받아서 악성코드에 감염되었는데 이메일 사본과 메모리 덤프를 가지고 분석을 해달라 한다. 문제에서 제공되는 파일은 flounder-pc-memdump.elf 파일, imageinfo.txt, Resume.eml 파일 세가지이다. elf 파일이 메모리 덤프 파일이고, imageinfo.txt 는 volatility 를 이용해 메모리 덤프 파일에 imageinfo 플러그인을 실행한 결과, eml 은 이메일 사본이다. eml 파일을 열어보면 resume.zip 파일에 링크가 걸려있는데 해당 링크는 http://10.10.99.25:8080/ 주소로 연결되어 있는걸 알 수 있다. imageinfo.t..

CTFlearn 의 여든 네번째 문제 Medium 난이도의 포렌식 문제인데 이전에 비슷한 유형의 문제보다 살짝 어렵다. 문제설명을 읽어보면, Python 을 사용하면 편하다는데 안써도 충분히 풀 수 있다. 문제에서 제공하는 HailCaesar.jpg 파일은 이렇게 생겼다. HxD 를 이용해 해당 파일을 열어보면 시작부터 뭔가 눈에띄는 데이터들이 보인다. 좀더 깔끔하게 보기 위해 Sublime에 붙혀넣어서 확인해봤다. CTFlearn 으로 시작하는 플래그 같이 생긴애들이 보이고 밑에는 Base64로 인코딩 된듯한 데이터가 보인다. 당연하게도 이 세 가지는 진짜 플래그가 아니다. 힌트일거라고 생각해서 고민해보니 두번째 줄은 맨 앞글자만 모아서 보면 ASCII, 세번째 줄은 32 ~ 126 이라는 숫자에 주목..

암호학이 살짝 가미된 포렌식 문제 대회에서는 stego 로 분류되어 있었다. Tenable CTF 가 참신하고 재밌는 문제들이 많이 나오는것 같다. 문제에서 주어지는 것은 turtles128.zip 파일이다. 압축을 풀려고 보면 비밀번호가 걸려있다. ZIP 파일 비밀번호를 crack 하는데는 John the Ripper 라는 도구를 이용했다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john hash 명령어로 비밀번호를 crack 해주면 된다. 해당 파일의 비밀번호는 0 이었다. 압축을 풀면 turtles127.zip 파일이 나오는데 이 역시도 암호가 걸려있다. 역시나 똑같은 방법으로 해보면 비밀번호는 0 으로 되어있는..

포렌식에 암호학이 살짝 섞인 문제 문제 설명에 monk 라는 단어가 나오는데 이게 문제풀때 큰 힌트가 된다. 문제에서 주어지는 것은 shield.png 파일이다. 열어보면 이렇게 생겼다. HxD로 해당파일을 열어서 스크롤을 내려봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 89 50 4E 47 라는 문자열이 새로 나오는 것을 볼 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 그러니까 이 파일은 PNG 파일 뒤에 또다른 PNG 파일이 있는 것이다. 뒤에 있는 PNG 파일을 복사해서 새로만들기 하면 이..

생각보다 자주 보이는 유형의 스테가노그래피 문제 오래전에 블로그에서도 유사한 문제를 다룬적이 있다. (https://hackingstudypad.tistory.com/125) 두개의 사진에서 숨겨진 데이터를 찾는것이 문제의 목표이다. 문제에서는 crypted1.png, crypted2.png 파일 두개가 주어진다. 각 이미지는 이렇게 생겼다. 노이즈처럼 지지직 하게 생긴 이미지가 두개 주어진다. 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL ..

또다시 간단한 포렌식 문제 Tenable CTF 에서는 이런 간단간단한 문제들이 많이 나온다. 문제에서 주어지는 파일은 silly_hacker.svg 파일이다. svg 파일은 Scalable Vector Graphics 의 약자로 웹 친화적인 벡터 파일을 말한다. 쉽게말하면 웹 브라우저로 열어볼 수 있는 사진파일이다. 실제로 해당 파일을 더블클릭해서 열어보면 Edge 가 실행되고 어나니머스 해커의 사진이 나타난다. 웹 브라우저를 이용해서 열린 파일이니 개발자도구를 이용하면 추가적인 정보를 확인할 수 있다. F12를 눌러 개발자도구를 열고 소스탭을 확인해봤다. 소스의 맨 아래쪽으로 내려보니 숨겨져 있던 플래그를 찾을 수 있었다.

문제 제목 그대로 아주 쉬운 스테가노그래피 문제 문제에서 주어지는 파일은 blm1.png 파일이다. blm1.png 파일을 열어보면 이렇게 생겼다. 뭔가 흐릿하게 그림이 보일들 말듯 하고 아래쪽에 보면 뭔가 플래그처럼 보이는 글씨도 써있다. 이 문제는 Stegsolve 라는 도구를 사용하면 풀 수 있다. 블로그에서는 관련된 문제들을 많이 다뤘었다. (https://hackingstudypad.tistory.com/177) (https://hackingstudypad.tistory.com/269) (https://hackingstudypad.tistory.com/339) (https://hackingstudypad.tistory.com/348) (https://hackingstudypad.tistory.c..