보안맨

CTFlearn에서 제공하는 포렌식 문제 이번엔 이미지 파일과 암호에 관련된 문제이다. 요게 문제에서 주어지는 이미지이다. 반지의 제왕에 나오는 김리이다. HxD로 해당 파일을 열어보니 열자마자 Base64 인코딩된 데이터가 엄청나게 보인다. CyberChef() 에서 디코딩을 해보니 뭔가 Readme 처럼 보이는 내용이 나왔다. 이번 문제는 RubberDuck, Snowboard, PikesPeak, GandalfTheWise 와 같은 문제들을 풀고오면 좋다고 한다. 물론 블로그에서 이미 다 풀이했던 문제들이다. (RuuberDuck : https://hackingstudypad.tistory.com/266) (Snowboard : https://hackingstudypad.tistory.com/277..

조금 난이도가 있었던 포렌식 문제이다. 막 엄청 어렵진 않았는데 시간이 좀 걸렸다. 문제에서 주어진 것은 starstream.vhd 파일이다. Autopsy 라는 포렌식 분석 도구를 이용해 분석을 진행했다. Add Data Source 버튼을 눌러 vhd 파일을 넣어주면 이렇게 안에 들어있는 파일들이 보인다. stream1~4 까지의 jpg 파일이 보이는데 그것과 더불에 각 jpg 파일마다 : 뒤에 뭐가 적혀있는 파일들도 보인다. 이건 ADS 영역에 숨겨진 데이터들이다. ADS 영역에 데이터를 숨겨주는 것이라고 한다. ADS는 Alternate Data Stream 의 약자로 NTFS 파일시스템에서 MAC OS와 파일시스템 호환성 유지를 위해 사용되는데 여기에 데이터를 은닉할 수 있다. 이렇게 파일을 클..

CTFlearn의 여든아홉번째 문제 계속해서 이어지는 Hard 난이도 문제이다.. 이상하게 배점이 높은데 사실 그렇게 어렵진 않다. 문제에서 주어지는 것은 legotroopers.jpg 파일이다. 해당 파일을 HxD에서 열어 중간쯤으로 내려가봤다. JPG 파일은 항상 FF D9 라는 값으로 끝난다. 파일에서 FF D9 값이 나오면, 그 뒤에는 아무런 값이 없어야 정상이다. 그런데 이 파일은 FF D9 다음에 50 4B 03 04 로 시작하는 데이터가 오고있는것을 볼 수 있다. 이렇게 50 4B 03 04 로 시작하는 파일은 ZIP 확장자를 가지는 파일이다. 이런것을 파일 시그니처 라고 한다. 50 4B 03 04 부터 파일의 끝까지 추출해서 test.zip 으로 저장했다. 압축을 풀려고 봤더니 비밀번호가..

조금 어려웠던 포렌식 카테고리의 문제 문제 설명을 읽어보면 PDF 파일이 플래그를 가지고 있는데 사전에 뭔가 작업을 해야 찾을 수 있다고 한다. 문제에서 주어지는 파일은 challenge.pdf 파일이다. 썸네일을 보면 알 수 있겠지만 해당 파일을 열어보면 아무런 내용이 없은 백지 상태이다. 해당 PDF 파일을 HxD 를 이용해 분석해봤다. PDF 파일을 열면 가장 먼저 앞에 %PDF 라는 문자가 있어야 하는데 이 파일은 그렇지 않고 앞에 require 'json' require 'cgi' require 'socket' =begin 라는 문자열이 적혀있었다. 파일 중간중간에도 보면 일반적으로 PDF 파일 안에 있을법한 내용이 아닌 다른 내용들이 눈에 띄었다. ruby-doc 를 찾아보니 모듈을 불러오는 ..

CTFlearn의 쉰 한번째 문제 이번엔 Easy 난이도의 포렌식 문제이다. 그래도 Easy 치고는 문제푸는데 조금 많은 작업이 필요하다. 문제에서 제공되는것은 Hey_You.png 파일이다. 귀여운 미니언 사진이다. 뭔가 특이한 점이 있나 살펴보기 위해 HxD로 해당 파일을 열어보았다. 맨 앞부분이 89 50 4E 47 0D 0A 1A 0A 로 시작하는것을 볼 수 있는데 모든 PNG 파일은 89 50 4E 47 0D 0A 1A 0A 로 시작한다. 이런걸 파일 시그니처 라고 한다. 아래쪽으로 쭉 내려보니 이상한 부분이 보였다. PNG 파일은 IEND®B`‚ 라는 문자열이 보이면 끝나야 한다. 저 뒤에 더이상 데이터가 있으면 안된다. 그런데 이상하게 Rar! 로 시작하는 데이터가 더 있는것을 볼 수 있었다..

TeamH4C에서 진행했던 CTF의 첫번째 포렌식 문제 이번 문제는 아주 쉬운 편이다. 문제에서 주어지는 Hangul.png 파일을 열어보면 이렇게 생겼다. 특별한거 없어 보이는 PNG 파일이다. 해당 파일을 HxD 도구를 이용해 열어본다. 파일이 89 50 4E 47 으로 시작하는것을 알 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 이번엔 HxD에서 스크롤을 끝까지 내려 파일의 맨 끝으로 이동해 봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 파일이 끝나지 않고 뒤에 50 4B 03 04 ~ 로 ..

간단한 포렌식 문제이다. 문제 제목이 세븐일레븐인데 7z 파일을 제공해서 그런건가 싶다. 문제에서 주어지는 것은 challenge.7z 파일이다. 바로 압축을 풀어봤는데, 안에는 password.txt 파일 하나만 들어있다. password.txt 파일의 내용은 이것이 다다. give_me_the_flag 라고 적혀있다. 여기서 꽤 오랜시간이 걸렸는데 txt 파일을 아무리 살펴봐도 저 문장 외에는 아무것도 특별한게 없었기 때문이다. 문제는 challenge.7z 파일 그 자체였다. binwalk 명령어로 확인해보니 7z 파일 안에 또다른 7z 파일이 숨어있었다. dd 명령어로 해당 파일을 한번 추출해 봤다. if 로 읽을 파일을 지정해주고, bs 는 한번에 읽을 바이트를 지정해주는 것이다. 1로 지정하면..

CTFlearn의 서른네번째 문제 또다시 나온 그림파일 포렌식 문제이다. https://hackingstudypad.tistory.com/266 https://hackingstudypad.tistory.com/288 https://hackingstudypad.tistory.com/305 조금씩 다르긴 하지만 이전에 비슷한 문제를 많이 풀이했었다. 이번 문제는 쪼금 더 꼬아놓은 문제이다. 이게 주어진 Tux.jpg 파일이다. 귀어운 펭귄의 모습이 보이는데 얘는 턱스라고 부르는 리눅스 공식 마스코트 펭귄이다. HxD 프로그램을 이용해 Tux.jpg 파일을 열어보았다. 열자마자 바로 눈에 띄는 부분이 있는데, 두번째 줄부터 시작되는 ICAgICAgUGFzc3dvcmQ6IExpbnV4MTIzNDUK 라는 값이다..

CTFlearn의 열여덟번째 문제 문제 제목이 07601 인데 이게 대체 뭘까 싶어서 검색해봤더니 미국 뉴저지의 우편번호라는 검색결과가 가장 많이 나온다. 우편번호가 영어로 zip code 인데 아마 zip 때문에 제목을 그렇게 붙였나보다. 문제에서 주어진 주소로 접속해보면 AGT.png 파일을 다운로드 받을 수 있다. 아메리카 갓 텔런트 캡쳐한 화면인데 HxD 프로그램을 이용애 AGT.png 파일을 열어보면 맨앞이 FF D8 FF E0 로 시작하는걸 볼 수 있다. 이렇게 파일 맨 앞에 써있는걸 파일 시그니처 라고 하는데 FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 주어진 파일은 PNG 파일인척 하는 JPG 파일이었던 것이다. JPG 파일의 또다른 특징은 끝날때 무조건 FF D9 로 끝..

중국에서 진행한 CTF 대회의 문제 대회에서 가장 쉬운 문제들 중 하나였는데 생각보다 애를 많이 먹었다. MISC로 분류되어있었는데 포렌식쪽으로 봐도 상관없을듯 하다. 문제 설명에 보면 힌트가 적혀있는데 주어진 pcap 파일을 이용해서 문제를 풀 수 있고, 어떤 파일의 비밀번호는 6자리이며 첫번째 두 자리는 DE 라고 친절히 알려주고 있다. 문제에서 주어지는 파일은 Misc_Chowder.pcap 파일이다. pcap 파일은 Wireshark 프로그램을 이용해서 열어볼 수 있다. 패킷은 3000개 정도 있는데 이정도면 별로 많은편은 아니다. 천천히 내려보다보면 중간부터 HTTP 프로토콜을 이용해 /test/upload_file.php 경로에 jpg 파일을 업로드 하는것이 보인다. 와이어샤크에서 File -..