보안맨

CTFlearn의 예순 한번째 문제 이번 문제는 포렌식으로 분류되어 있는데, 개인적으로 이런 문제는 MISC로 넣어야 된다고 본다. 근래 풀어본 문제중 가장 충격적인 문제였다.. 문제 설명을 읽어보면 KGB 요원인 Boris Ivanov 가 비밀 자료 거래 정보를 획득해서 비밀 자료를 거래하는 통신을 가로챘다고 한다. 어떤 데이터를 거래하려고 했는지 알아내는것이 이번 문제의 목표이다. 문제에서 주어지는 파일은 Boris_Ivanov_1.jpg 파일이고 위와 같이 생겼다. 내용은 John BROWN과 Michael SMITH 가 무언가를 거래하는 내용인데 정황상 맨 아래쪽에 보이는 모자이크 같은 부분이 거래하는 내용인것 같다. 이게 뭔지 알아내는데 진짜 오랜 시간이 걸렸다.. 가장 먼저 시도한건 지난 문제..

CTFlearn의 쉰 여덟번째 문제 이번엔 조금 참신한 포렌식 문제이다. 이전에도 Unicode와 관련된 비슷한 유형의 문제를 풀어본 적 있는데 (https://hackingstudypad.tistory.com/354) 이번 문제의 풀이법은 조금 다르다. 문제 설명을 읽어보면 Super Agent School을 졸업한 스파이인 나에게 Master-Mind가 비밀 지령을 줬는데 읽지 못하겠다고 도와달라고 한다. TheMessage.txt 파일이 주어지는데 메모장으로 열어보면 아무것도 없는 빈 파일이다. 메모장을 드래그 한번 해봤더니 그래도 뭔가 내용이 들어있는것 처럼 블록이 잡히는걸 볼 수 있었다. 그래서 HxD를 이용해 TheMessage.txt 파일을 열어봤다. 안에 많은 내용이 적혀있었는데, 자세히 ..

간단한 포렌식 문제 Malicious 1 이 있었는지 기억이 안나는데 일단 캡쳐해둔건 Malicious 2 밖에 없다. 별다른 문제 설명 없이 mycv.docx 파일만 덩그러니 주어진다. mycv.docx 파일을 열려고 보니 비밀번호가 걸려있었다. docx같은 오피스 파일 비밀번호를 crack 하기위해 John the Ripper 라는 도구를 자주 사용한다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. 칼리 리눅스에서 offic2john > hash 명령어로 hash 파일을 생성해준 다음 john 명령어로 John the Ripper 를 사용해 hash 파일의 원래 값을 찾아준다. 조금 더 확실하게 찾기 위해 강력한 wordlist 파일은 rockyou.txt 파일을 --wordlist 옵..

pdf와 관련된 포렌식 문제 난이도가 그렇게 어렵지 않은 문제이다. 이전에 Root Me에서 비슷한 문제를 풀이했었다. (https://hackingstudypad.tistory.com/340) 문제에서 주어지는 것은 There_is_a_flag_somewhere.pdf 파일이다. 안에 들어있는 내용은 위와 같은데, 이번 문제에서는 내용은 전혀 읽어볼 필요도 없다. 주어진 pdf 파일을 strings 명령어로 살펴보니 중간에 누가봐도 수상한 문자열들이 보였다. Li0t, Li4t, LS0u 등이 계속 반복되는데 뭔가 Base64로 인코딩 된 것 같았다. 이 데이터는 Root Me에서 했던것 처럼 PDFStreamDumper 라는 도구를 이용해서도 확인이 가능하다. CyberChef(https://gchq..

CTFlearn의 쉰세번째 문제 이번엔 처음으로 나온 프로그래밍 카테고리의 문제이다. 사실 여기서 분류는 프로그래밍으로 했지만 거의 포렌식 문제라고 생각한다. 간만에 CTFlearn에서 생각해볼 만한 문제가 나와서 재미있었다. 문제 설명을 읽어보면 누군가가 사진의 픽셀을 가져와 재구성했다고 이걸 PIL 모듈을 이용해 복원할 수 있냐고 물어본다. 이미지가 변경되기 전 Width는 304라는 힌트도 주어진다. 이것이 문제에서 주어지는 out copy.jpg 파일이다. 아무것도 없는것 처럼 보이는데 사실은 그게 아니다. 이미지를 우클릭해 속성을 보면 너비가 27968, 높이가 1인 것을 볼 수 있다. 아까 문제 설명에서 본대로 누군가가 이미지의 픽셀을 일렬로 쭉 늘어놓은 것이다. 일단 원래의 높이를 구해준다...

CTFlearn의 쉰 한번째 문제 이번엔 Easy 난이도의 포렌식 문제이다. 그래도 Easy 치고는 문제푸는데 조금 많은 작업이 필요하다. 문제에서 제공되는것은 Hey_You.png 파일이다. 귀여운 미니언 사진이다. 뭔가 특이한 점이 있나 살펴보기 위해 HxD로 해당 파일을 열어보았다. 맨 앞부분이 89 50 4E 47 0D 0A 1A 0A 로 시작하는것을 볼 수 있는데 모든 PNG 파일은 89 50 4E 47 0D 0A 1A 0A 로 시작한다. 이런걸 파일 시그니처 라고 한다. 아래쪽으로 쭉 내려보니 이상한 부분이 보였다. PNG 파일은 IEND®B`‚ 라는 문자열이 보이면 끝나야 한다. 저 뒤에 더이상 데이터가 있으면 안된다. 그런데 이상하게 Rar! 로 시작하는 데이터가 더 있는것을 볼 수 있었다..

CTFlearn의 쉰번째 문제 이번엔 Hard 난이도의 포렌식 문제이다. 하지만 역시나 그렇게 어렵진 않다. 문제 설명에서 힌트를 주고 있다. 파일 헤더에 문제가 있어 파일을 열지 못하는것 같다고 한다. 문제에서 주어지는 파일은 unopenable.gif 파일이다. 확장자가 .gif 인걸 보니 원래는 GIF 파일이었나 보다. 파일을 열어보면 문제에서 언급한것 처럼 파일이 깨진듯 이 파일 형식은 지원되지 않는 것 같습니다. 라고 나온다. 주어진 unopenable.gif 파일을 HxD 라는 도구를 실행시켜, 드래그 앤 드랍한다. (HxD 다운링크 : https://mh-nexus.de/en/downloads.php?product=HxD20) 그러면 위처럼 16진수로 되어있는 값들이 보인다. 이 16진수 값..

CTFlearn 의 마흔아홉번째 문제 이번에도 익순한 포렌식 카테고리의 jpg 파일 문제이다. 그래도 이번 문제는 조금 생각이 필요하다. https://hackingstudypad.tistory.com/266 https://hackingstudypad.tistory.com/288 https://hackingstudypad.tistory.com/305 https://hackingstudypad.tistory.com/311 https://hackingstudypad.tistory.com/338 조금씩 다르긴 하지만 이전에 비슷한 문제를 많이 풀이했었다. 이번 문제에서 주어지는 Gandalf.jpg 파일이다. 간달프 할아버지와 함께 멋진 문구가 적혀있다. 주어진 Gandalf.jpg 파일을 HxD 라는 도구를..

CTFlearn의 마흔여섯번째 문제 이번엔 PDF 파일을 이용한 간단한 포렌식 문제이다. 문제 설명을 읽어보면 external drive 의 password 를 찾는게 목적인듯 하다. 문제 푸는데 크게 중요한건 아니지만 제목에 있는 fdpumyp 가 뭔지 알아봤더니 PyMuPDF 를 거꾸로 쓴 것이었다. PyMuPDF 는 PDF 페이지의 일부를 선택해서 이미지 하 할 수 있는 파이썬 라이브러리라고 한다. 아마 제작자가 문제 만드는데 이용한듯 하다. 문제에서 주어지는 dontopen.pdf 파일을 열어보면 이런 내용이다. 한장 짜리 pdf 파일에 CAN'T TOUCH THIS 라고 적혀있다. 눈에 보이는 특이한점은 없으니 HxD를 이용해 파일을 열어본다. 위쪽에는 특이한 점이 없고, 맨 아래쪽으로 내려봤더..

문제 제목처럼 마냥 단순하지만은 않았던 포렌식 문제 악랄한 문제였다.. 역시나 별다른 설명없이 simple_forensic.zip 파일 하나만 주어진다. zip 파일의 압축을 풀어보려 했더니 비밀번호가 걸려있다. zip 파일 비밀번호를 crack 하는데는 John the Ripper 라는 도구를 이용했다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john hash 명령어로 비밀번호를 crack 해주면 된다. 해당 파일의 비밀번호는 1337 이었다. 압축을 풀면 그 안에 file.zip 파일과 H&C.txt 파일 두개가 들어있다. file.zip 파일은 또 암호가 걸려있고, H&C.txt 파일이 해당 암호에 대한 힌트인것..