보안맨

조금 난이도가 있었던 포렌식 문제이다. 막 엄청 어렵진 않았는데 시간이 좀 걸렸다. 문제에서 주어진 것은 starstream.vhd 파일이다. Autopsy 라는 포렌식 분석 도구를 이용해 분석을 진행했다. Add Data Source 버튼을 눌러 vhd 파일을 넣어주면 이렇게 안에 들어있는 파일들이 보인다. stream1~4 까지의 jpg 파일이 보이는데 그것과 더불에 각 jpg 파일마다 : 뒤에 뭐가 적혀있는 파일들도 보인다. 이건 ADS 영역에 숨겨진 데이터들이다. ADS 영역에 데이터를 숨겨주는 것이라고 한다. ADS는 Alternate Data Stream 의 약자로 NTFS 파일시스템에서 MAC OS와 파일시스템 호환성 유지를 위해 사용되는데 여기에 데이터를 은닉할 수 있다. 이렇게 파일을 클..

중국에서 진행한 CTF 대회의 문제 대회에서 가장 쉬운 문제들 중 하나였는데 생각보다 애를 많이 먹었다. MISC로 분류되어있었는데 포렌식쪽으로 봐도 상관없을듯 하다. 문제 설명에 보면 힌트가 적혀있는데 주어진 pcap 파일을 이용해서 문제를 풀 수 있고, 어떤 파일의 비밀번호는 6자리이며 첫번째 두 자리는 DE 라고 친절히 알려주고 있다. 문제에서 주어지는 파일은 Misc_Chowder.pcap 파일이다. pcap 파일은 Wireshark 프로그램을 이용해서 열어볼 수 있다. 패킷은 3000개 정도 있는데 이정도면 별로 많은편은 아니다. 천천히 내려보다보면 중간부터 HTTP 프로토콜을 이용해 /test/upload_file.php 경로에 jpg 파일을 업로드 하는것이 보인다. 와이어샤크에서 File -..