보안맨

CTFlearn의 일흔 다섯번째 문제 이번엔 Medium 난이도의 포렌식 문제이다. 문제에서 주어지는 파일은 smiling.png 파일이다. 뭔가 묘하게 기분나쁘게 생겼다. 해당 파일을 HxD 도구를 이용해 열어본다. 파일이 89 50 4E 47 으로 시작하는것을 알 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 이번엔 HxD에서 스크롤을 내려 파일의 끝으로 이동해 봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 뒤에 Base64 인코딩된듯한 데이터가 더 있는것이 보였다. CyberChef(https..

CTFlearn 의 일흔 네번째 문제 이번엔 Medium 난이도의 포렌식 문제이다. 문제 설명이 없었다면 어려울뻔 했는데 문제 설명때문에 아주 쉽게 풀 수 있다. 문제 설명을 보면 0xffd9 마커가 두개 있는것에 속지 말고, XOR 이 친구가 되줄거라고 알려준다. 이건 거의 뭐 풀이법을 다 알려준거나 마찬가지다. 우선 문제에서 주어지는 MountainMan.jpg 파일은 이렇게 생겼다. 해당 파일을 먼저 HxD 로 열어보았다. 맨앞이 FF D8 FF E0 로 시작하는걸 볼 수 있는데 FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 마찬가지로 JPG 파일은 FF D9 로 끝이 난다. 저 뒤에 더이상 데이터가 있으면 안되지만 문제 설명에서 언급했던 대로 FF D9 뒤에 약간의 데이터가 더 있..

MISC 카테고리에 있던 문제 포렌식으로 분류해도 될 것 같다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 읽어보면 친구에게 UDP 를 이용해 플래그를 한글자씩 보내고 있었는데 누군가가 이상한 데이터를 보내서 망쳐놨다고 한다. RFC 3514 와 관련있을거 같다는 힌트가 같이 주어진다. RFC 3514 가 뭔지 궁금해서 구글에 검색해봤다. 위키피디아 문서가 하나 나오는데 Evil bit 이라는 제목이다. IPv4 패킷 헤더에 추가되는 만우절에 만들어진 뭔가인듯 하다. 일단 여기까지만 대충 보고 문제 파일로 바로 들어갔다. 먼저 주어진 EBE.pcap 파일을 Wireshark 를 이용해 열어보았다. 10.0.1.10 에서 10.0.1.5 로 보내는..

CTFlearn의 일흔 한번째 문제 이번엔 Hard 난이도의 포렌식 문제이다. 솔직히 이 문제는 문제 자체가 어렵다기 보단.. 푸는 과정이 너무 귀찮다.. 문제 설명을 보면 우주 비행사가 보낸 파일을 분석해 도와줘야 한다고 한다. 문제에서 주어지는 것은 help.me 파일이다. 어떤 파일인지 보기 위해 가장 먼저 HxD를 이용해 열어보았다. 4F 67 67 53 (OggS) 로 파일이 시작하는걸 볼 수 있는데 이렇게 시작하는 것은 ogg 파일이다. 해당 값은 ogg 파일의 시그니처 이다. 확장자를 ogg 로 바꿔서 실행해보면 뭔가 지지직 하는 소리가 5초 정도 나다가 끊긴다. Audacity(https://audacity.en.softonic.com/download) 라는 도구를 이용해 해당 파일을 분석..

CTFlearn의 일흔번째 문제 이번엔 Medium 난이도의 포렌식 문제이다. 이 문제 이후로는 Easy 문제가 거의 없다.. 이젠 못푸는 문제가 나올까봐 두렵다. 문제에서 주어지는 것은 cut3_c4t.png 파일 하나이다. 파일을 열어보면 이렇게 귀여운 아기고양이 한마리가 보인다. cut3_c4t.png 파일을 HxD 도구를 이용해 열어본다. 파일이 89 50 4E 47 으로 시작하는것을 알 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 이번엔 HxD에서 스크롤을 내려 파일의 중간쯤으로 이동해 봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이..

조금 어려웠던 포렌식 카테고리의 문제 문제 설명을 읽어보면 PDF 파일이 플래그를 가지고 있는데 사전에 뭔가 작업을 해야 찾을 수 있다고 한다. 문제에서 주어지는 파일은 challenge.pdf 파일이다. 썸네일을 보면 알 수 있겠지만 해당 파일을 열어보면 아무런 내용이 없은 백지 상태이다. 해당 PDF 파일을 HxD 를 이용해 분석해봤다. PDF 파일을 열면 가장 먼저 앞에 %PDF 라는 문자가 있어야 하는데 이 파일은 그렇지 않고 앞에 require 'json' require 'cgi' require 'socket' =begin 라는 문자열이 적혀있었다. 파일 중간중간에도 보면 일반적으로 PDF 파일 안에 있을법한 내용이 아닌 다른 내용들이 눈에 띄었다. ruby-doc 를 찾아보니 모듈을 불러오는 ..

간단한 포렌식 문제 비슷한 유형의 문제를 이전에 포스팅 한 적이 있다. (https://hackingstudypad.tistory.com/184) 문제파일로 주어지는 것은 song_file.wav 파일이다. 음악파일이 주어졌을때 주로 사용하는 도구는 audacity 가 있겠지만 이번 문제에서는 다른 도구를 사용해서 풀 수 있었다. DeepSound 라는 도구를 사용했다. DeepSound 도구는 wav, flac, wma, ape 등등 음악파일에 AES-256 암호 알고리즘을 사용해서 Secret file을 숨길 수 있게 해주는 도구이다. 물론 역으로 복원하는것도 가능하다. 프로그램을 실행시킨 뒤에 wav 파일을 드래그 앤 드롭하면 아래쪽에 FLAG.rar 파일이 숨겨져 있다는 것을 알 수 있다. rar..

CTFlearn의 예순 세번째 문제 PNG 파일을 이용한 포렌식 문제인데 난이도가 올라갈수록 PIL 라이브러리를 사용하는 문제 유형이 많이 나오는것 같다. 문제에서 주어지는 것은 Exclusive_Santa.rar 압축파일이다. 압축을 풀면 이렇게 1.png, 3.png 파일 두개가 들어있다. 2.png 가 없는것을 보니 어딘가에 숨겨져 있는것 같다. 1.png 파일은 이렇게 생겼다. WINTER IS COMING 이라는 글자가 보이고 사진이 뭔가 깨진것 처럼 엄청 복잡한 느낌이다. 3.png 는 이렇게 생겼는데 이건 구글에 XOR 이라고 검색하면 바로 나오는 사진이다. XOR 을 두 개의 집합을 사용해 가시적으로 표현한 다이어그램이다. 1.png 가 정상적인 사진과 달리 복잡하게 생긴이유가 어떤 사진이..

CTFlearn의 예순두번째 문제 이번엔 jpg 파일을 이용한 포렌식 문제인데 기존에 jpg 가 주어졌던 다른 포렌식 문제와는 조금 다른 유형이다. 문제 설명을 읽어보면 힌트가 주어져 있다. hint: dimensions, dimensions, everything is in dimensions. dimensions 차원이라는 뜻도 있지만 치수라는 뜻도 있다. 여기서 말하는 dimensions 는 주어지는 jpg 파일의 크기를 의미하는듯 하다. 문제에서 주어지는 abondoned_street_challenge2.jpg 파일이다. 버려진 거리의 사진인데 사진의 내용은 크게 중요하지 않다. 이번 문제를 풀려면 jpg 파일 헤더의 구조를 알아야 한다. 위키피디아에 관련된 내용이 나와있다. FF D8 은 이미지의..

조금 어려웠던 포렌식 문제 네트워크 트래픽을 캡쳐했는데 악성 행위가 있는거 같다고 찾아내보라고 한다. 문제에서 주어지는 것은 colorfull.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금만 스크롤을 내려보면 FTP 프로토콜을 이용해 files.zip 파일을 내려받은 흔적을 확인할 수 있다. 해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러 자세한 내용을 확인해 본다. Show and save data as를 Raw로 선택해주고 Save as... 버튼을 눌러 데이터를 저장해준다. 데이터 맨 앞에 50 4b 03 04 로 시작하는걸 보니 ZIP 파일이 맞다. 저장한 files.zip 파일의 압축..