보안맨

CTFlearn의 예순 네번째 문제 이번에는 MISC 카테고리의 Medium 난이도 문제이다. 난이도 자체는 Easy 인데 다른 의미로 어렵다.. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 읽어보면 Bity 가 가지고 있던 플래그를 Noty 가 망가트려버렸다고 한다. 이것을 복원하는걸 도와야 하는데, 기억나는 부분은 플래그의 맨 앞 4자리가 CTFL 로 시작한다는 것이라고 한다. BUGMdsozc0osx^0r^`vdr1ld| 위의 문자열이 문제에서 주어진 망가진 플래그이다. 문제는 허무할 정도로 쉽게 풀린다. CyberChef(https://gchq.github.io/CyberChef) 에서 XOR Brute Force 를 해보면 플래그가 바로 ..

간단한 포렌식 문제 비슷한 유형의 문제를 이전에 포스팅 한 적이 있다. (https://hackingstudypad.tistory.com/184) 문제파일로 주어지는 것은 song_file.wav 파일이다. 음악파일이 주어졌을때 주로 사용하는 도구는 audacity 가 있겠지만 이번 문제에서는 다른 도구를 사용해서 풀 수 있었다. DeepSound 라는 도구를 사용했다. DeepSound 도구는 wav, flac, wma, ape 등등 음악파일에 AES-256 암호 알고리즘을 사용해서 Secret file을 숨길 수 있게 해주는 도구이다. 물론 역으로 복원하는것도 가능하다. 프로그램을 실행시킨 뒤에 wav 파일을 드래그 앤 드롭하면 아래쪽에 FLAG.rar 파일이 숨겨져 있다는 것을 알 수 있다. rar..

CTFlearn의 예순 세번째 문제 PNG 파일을 이용한 포렌식 문제인데 난이도가 올라갈수록 PIL 라이브러리를 사용하는 문제 유형이 많이 나오는것 같다. 문제에서 주어지는 것은 Exclusive_Santa.rar 압축파일이다. 압축을 풀면 이렇게 1.png, 3.png 파일 두개가 들어있다. 2.png 가 없는것을 보니 어딘가에 숨겨져 있는것 같다. 1.png 파일은 이렇게 생겼다. WINTER IS COMING 이라는 글자가 보이고 사진이 뭔가 깨진것 처럼 엄청 복잡한 느낌이다. 3.png 는 이렇게 생겼는데 이건 구글에 XOR 이라고 검색하면 바로 나오는 사진이다. XOR 을 두 개의 집합을 사용해 가시적으로 표현한 다이어그램이다. 1.png 가 정상적인 사진과 달리 복잡하게 생긴이유가 어떤 사진이..

문제 자체는 어렵지 않은데 악랄했던 MISC 문제.. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제에서 주어지는 파일은 OH-MY-R41N.zip 파일이다. ZIP 파일의 압축을 풀려고 보니 비밀번호가 걸려있다. ZIP 파일 비밀번호를 crack 하는데는 John the Ripper 라는 도구를 이용했다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john --wordlist= hash 명령어로 비밀번호를 crack 해주면 된다. 해당 파일의 비밀번호는 management 이었다. 비밀번호를 크랙하는데 사용한 rockyou.txt 파일을 구글에 검색하면 쉽게 구할 수 있다...

HackTheBox 에서 제공하는 암호학 문제 난이도는 그렇게 어렵지 않긴 한데.. 그렇다고 마냥 쉽지많은 않다. HackTheBox 는 난이도 역치가 높은것 같다. 문제에서 제공되는 것은 chall.py 와 msg.enc 파일이다. 먼저 chall.py 의 내용을 보면 암호화 하는 알고리즘을 보여준다. encryption 함수에서 msg 를 인수로 받아 각 글자 * 123 + 18 한 값을 256 으로 나눈 나머지를 ct 배열에 저장하고 있다. 모든 값을 암호화하면 msg.enc 파일을 생성해 거기에 저장하고 끝이 난다. 6e0a9372ec49a3f6930ed8723f9df6f6720ed8d89dc4937222ec7214d89d1e0e352ce0aa6ec82bf622227bb70e7fb7352249b7..

문제 자체는 쉽지만 접근하는게 어려웠던 문제 어느 카테고리에 있었는지 기억이 안나서 MISC 로 분류했다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 읽어보면 SIEM 솔루션에서 이상한 네트워크 트래픽을 식별했는데 이게 무슨 의미인지 알아봐 달라고 한다. SIEM 이란 Security Information and Event Management 의 약자로 다양한 보안 솔루션에서 발생하는 로그를 한곳에서 분석해 보안 위협을 탐지하고 대응할 수 있도록 도와주는 솔루션이다. 001351e2ab912ce17ce9ab2c7465f1a265aa975c879e863dea06e177b62d8750 fe1a602aadba2e52b3b2cf82139c4d10c9fc..

CTFlearn의 예순두번째 문제 이번엔 jpg 파일을 이용한 포렌식 문제인데 기존에 jpg 가 주어졌던 다른 포렌식 문제와는 조금 다른 유형이다. 문제 설명을 읽어보면 힌트가 주어져 있다. hint: dimensions, dimensions, everything is in dimensions. dimensions 차원이라는 뜻도 있지만 치수라는 뜻도 있다. 여기서 말하는 dimensions 는 주어지는 jpg 파일의 크기를 의미하는듯 하다. 문제에서 주어지는 abondoned_street_challenge2.jpg 파일이다. 버려진 거리의 사진인데 사진의 내용은 크게 중요하지 않다. 이번 문제를 풀려면 jpg 파일 헤더의 구조를 알아야 한다. 위키피디아에 관련된 내용이 나와있다. FF D8 은 이미지의..

조금 어려웠던 포렌식 문제 네트워크 트래픽을 캡쳐했는데 악성 행위가 있는거 같다고 찾아내보라고 한다. 문제에서 주어지는 것은 colorfull.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금만 스크롤을 내려보면 FTP 프로토콜을 이용해 files.zip 파일을 내려받은 흔적을 확인할 수 있다. 해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러 자세한 내용을 확인해 본다. Show and save data as를 Raw로 선택해주고 Save as... 버튼을 눌러 데이터를 저장해준다. 데이터 맨 앞에 50 4b 03 04 로 시작하는걸 보니 ZIP 파일이 맞다. 저장한 files.zip 파일의 압축..

CTFlearn의 예순 한번째 문제 이번 문제는 포렌식으로 분류되어 있는데, 개인적으로 이런 문제는 MISC로 넣어야 된다고 본다. 근래 풀어본 문제중 가장 충격적인 문제였다.. 문제 설명을 읽어보면 KGB 요원인 Boris Ivanov 가 비밀 자료 거래 정보를 획득해서 비밀 자료를 거래하는 통신을 가로챘다고 한다. 어떤 데이터를 거래하려고 했는지 알아내는것이 이번 문제의 목표이다. 문제에서 주어지는 파일은 Boris_Ivanov_1.jpg 파일이고 위와 같이 생겼다. 내용은 John BROWN과 Michael SMITH 가 무언가를 거래하는 내용인데 정황상 맨 아래쪽에 보이는 모자이크 같은 부분이 거래하는 내용인것 같다. 이게 뭔지 알아내는데 진짜 오랜 시간이 걸렸다.. 가장 먼저 시도한건 지난 문제..

쉬우면서도 어려운 문제.. 뭔지만 알면 쉽게 풀 수 있는데, 모르면 정말 오래걸릴 수 있는 문제이다. 문제에서는 별다른 설명 없이 00110000910000FF2E547419646687CFA0F41CA4032993D321D5B8414D9BD348D1397C1293CE63C458753AB3915028B44901 이런 텍스트를 주고 Decrypt 하라고 한다. 16진수로 디코딩 해보고 이전에 풀어봤던 문제에서 나온 Multi-tap 같은걸로 디코딩하려 해봤는데 (https://hackingstudypad.tistory.com/148) 아무것도 먹히지 않았다. 문제 제목이 큰 힌트가 될거라 생각하고 Call 과 관련한 키워드로 구글에 검색을 해봤다. 처음엔 Call Decoder 뭐 이런식으로 검색해보다가 휴..