보안맨

CTFlearn의 마흔 세번째 문제 이번엔 OSINT와 관련된 MISC 카테고리의 문제이다. OSINT는 Open Source Intelligence 의 약자로 공개출처정보를 의미하고 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 이런 유형의 문제가 재밌는것 같다. 문제 설명을 읽어보면 미 항공우주국 NASA 의 1996년 12월 31일 당시 홈페이지로 가서, NASA 가 홈페이지에 적어놓은 이메일 주소를 알아내라고 한다. 당연한 얘기지만 문제에 적혀있는 nasa.gov 주소로 접속해보면 현재의 나사 홈페이지로 접속이 된다. 이런 상황에서 어떻게 과거 홈페이지를 볼 수 있을까? OSINT 문제를 풀때 유용하게 사용할 수 있는 OSINT Framwork(https..

푸는데 조금 시간이 걸렸던 포렌식 문제 별다른 설명없이 flag.png 파일 하나만 주어진다. 문제 제목이 GNP 인데 뭔가 PNG 를 거꾸로 쓴 느낌이다. 이 부분을 잘 기억해야 한다. 주어진 flag.png 파일을 열어보면 이런 그림이다. 대회 주최측 로고 같은게 그려져 있고 그 외에 특이한 점은 없다. 해당 파일을 HxD 를 이용해 열어보니 이상한 점을 바로 확인할 수 있었다. 파일의 맨 앞부분이 FF D8 FF E0 로 시작하는것을 볼 수 있는데 이건 JPG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 그러니까 확장자는 .png 인데, 알고봤더니 JPG 파일이라는 것이다. 그럼 문제 제목에서 PNG 를 거꾸로 쓴듯한 GNP 는 무엇을 의미할까? 컨트롤 + F 키늘 룰러 검색 기능을 이용해 ..

HackTheBox 에서 제공하는 쉬운 난이도의 포렌식 문제 git 과 관련된 문제인데 이전에 Root Me 와 CTFlearn에도 비슷한 문제가 있어서 풀이한 적이 있다. (Root Me : https://hackingstudypad.tistory.com/182) (CTFlearn : https://hackingstudypad.tistory.com/261) 참고로 git은 소스코드의 변경사항을 추적하고 여러 사용자들간 작업을 조율하기 위한 버전관리 시스템이다. 신입 개발자가 코드를 수정했는데 비밀 토큰을 찾아내는것이 이번 문제의 목표이다. 문제에는 bot.js 파일과 config.json 파일이 주어진다. bot.js 파일은 소스코드인것 같고, 안에 특이한 내용은 없다. config.json 파일을 열..

TeamH4C에서 진행했던 CTF의 첫번째 포렌식 문제 이번 문제는 아주 쉬운 편이다. 문제에서 주어지는 Hangul.png 파일을 열어보면 이렇게 생겼다. 특별한거 없어 보이는 PNG 파일이다. 해당 파일을 HxD 도구를 이용해 열어본다. 파일이 89 50 4E 47 으로 시작하는것을 알 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 이번엔 HxD에서 스크롤을 끝까지 내려 파일의 맨 끝으로 이동해 봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 파일이 끝나지 않고 뒤에 50 4B 03 04 ~ 로 ..

CTFlearn 의 마흔두번째 문제 이번 문제는 암호학 카테고리의 문제인데 난이도가 Hard 로 분류되어 있고, 점수도 80점이나 된다. 근데 사실 나는 이 문제의 분류와 배점이 아주 잘못되었다고 생각한다. 막상 풀어보면 별다른 기술이 필요없기 때문이다. 문제 설명을 읽어보면 친구가 플래시드라이브를 훔쳐갔다가 돌려줬는데 그 안에 있던 데이터가 변경되었다고 도와(decrypt)달라고 한다. 일단 문제 제목에서부터 어떻게 풀어야 할지 감이 온다. So many 64s 라는 문장을 통해 어떤 문자열을 Base64 를 이용해 아주 많이 인코딩 해 놨을것이라고 추측이 가능하다. Vm0wd2QyUXlVWGxWV0d4V1YwZDRWMVl3WkRSV01WbDNXa1JTVjAxV2JETlhhMUpUVmpBeFYySkVU..

HackTheBox 에서 제공하는 웹해킹 문제 이번 문제는 PHP Object Injection 과 관련된 문제이다. PHP Object Injection 은 PHP Serialize 취약점이라고도 불리는데 PHP 에서 unserialize() 함수를 사용할 때, 사용자 입력이 적절하게 필터링 되지 않을 경우 임의이 PHP Object 가 삽입되어 Command Injection, SQL Injection, Path Traversal 등과 같은 공격이 가능하게 되는 취약점이다. 문제 페이지에 들어가면 이런 화면이 나온다. 독개구리를 판매하는(??) 사이트인데 밑에 적혀있는 후기같은걸 보면 아내랑 같이 먹었다는 후기도 있다(???) 아무튼 이게 중요한게 아니고 웹 페이지 자체에는 아무런 기능이 없다. 조금..

CTFlearn 의 마흔한번째 문제 이번에는 네트워크 패킷 포렌식 문제이다. 뭔가 문제 설명이 길게 적혀있다. 문제 설명을 읽어보면 라우터에 접근해야하니 네트워크 패킷을 통해 비밀번호를 알아내라고 한다. 친절하게 힌트도 적혀있는데 1. 누군가 비밀번호를 이용해서 벌써 로그인을 했다. 로그인 데이터는 어디에 있나? 2. 플래그를 찾았는데 동작하지 않는다면 암호화 됐다고 생각해봐라 라고 적혀있다. 참고해서 문제를 풀어보자 문제에서 주어지는 것은 data.pcap 파일이다. pcap 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 조금 내리다 보면 40번 패킷에서 웹으로 /index.html 경로에 접근한 흔적이 보인다. 해당 패킷을 자세히..

https://hackingstudypad.tistory.com/341 지난 포스팅에 이어서 계속 쓰는 Matryoshka 문제 지난번 마지막으로 생성했던 qr.gz 파일 내에서 압축되어 있는 qr 이라는 이름의 파일을 발견했었다. 열어보니 숫자 1과 알파벳 엘(l) 로 이루어진 85x85 크기의 텍스트 파일인데 두 문자가 마구 섞여서 뭔지 알아보기가 힘들다. 하지만 파일의 이름이 qr 이니 이전 png 파일처럼 하나는 흰색, 하나는 검은색을 의미하는 것일거라고 생각했다. Sublime에서 l 을 □ 로, 1을 ■ 로 한번 바꿔봤더니 뭔가 QR코드 같이 생긴 그림이 보였다. 다음으로 이걸 진짜 그림으로 바꿔주는 작업을 했다. from PIL import Image qr = open('qr', 'r') n..

포렌식 문제 아주 어렵고 짜증나는 문제였다.. 러시아의 마트료시카 인형처럼 풀어도 풀어도 계속 끊임없이 문제들이 계속 나왔다. 풀이가 너무 길어서 포스팅 두개로 나눠서 절반씩 올릴 예정이다. 문제파일로 주어지는건 matryoshka.png 파일이다. 뭐가 빽빽하게 그려져 있는데 확대해서 보면 이런 딸기 그림이다. 이게 무슨 의미인지 알아내는데 엄청나게 시간이 걸렸다.. 자세히 보면 딸기의 종류가 두 개 이다. 두 딸기는 서로 다른 방향을 바라보고 있는데, 컴퓨터 관련된 문제이니 이 딸기가 0과 1 같은 의미일거라고 생각했다. 그래서 우선 이 0과 1 딸기들이 어떻게 배치되었는지 알아보기로 했다. matryoshka.png 파일의 속성을 보면 가로 세로 각각 6050 픽셀인 것을 확인할 수 있다. 수작업으..

Root Me 에서 제공하는 PDF 파일 과련 포렌식 문제 문제의 목표는 PDF 파일에서 숨겨진 정보를 찾는 것이다. 문제에서 주어지는 것은 epreuve_BAC_2004.pdf 파일이다. 해당 파일을 열어보면 무슨 연구보고서 같은데 프랑스어라 무슨 내용인지 잘 모르겠다. 그냥 봤을때는 특이한 점은 없다. http://sandsprite.com/blogs/index.php?uid=7&pid=57 RE Corner - PDF Stream Dumper PDF Stream DumperAuthor: David ZimmerDate: 07.21.10 - 7:55pm This is a free tool for the analysis of malicious PDF documents. This tool has been ..