보안맨

FTK Imager 라는 도구를 이용해 풀 수 있는 포렌식 문제이다. 이전에도 비슷한 난이도의 문제들을 다룬적 있었다. (https://hackingstudypad.tistory.com/203) 문제에서 주어지는 것은 convergence.img 파일이다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager 를 실행시킨 후 Add Evidencd Item 버튼을 눌러 Image File을 선택해준다. Select File에..

네트워크 패킷 분석과 관련된 포렌식 문제이다. 이전에도 블로그에서 비슷한 유형의 문제들을 다룬적이 있었다. 찾아보니 작년 Space Heroes CTF 에서도 비슷한 문제가 나왔었다. (https://hackingstudypad.tistory.com/88) 문제에서 주어지는 것은 chall.jpg.pacp 파일이다. Wireshark로 pcap 파일을 열어볼 수 있다. Wireshark 로 해당 파일을 열어보면 이렇게 수많은 ICMP Echo request 패킷이 보인다. 갯수를 새어보니 239,351개였다. 첫 4 패킷의 데이터만 보고 어떻게 풀어야 하는지 알 수 있었다. 첫번재 패킷의 경우 패킷의 맨 끝 data.data 부분이 ff 인것을 볼 수 있다. 두번째 패킷은 d8 이고, 세번째 패킷은 ff..

작년에 이어 올해도 열린 Space Heroes CTF 재밌는 문제가 많았으나 시간관계상 몇개밖에 풀어보지 못했다. 첫번째는 간단한 포렌식 문제이다. 문제에서 주어지는 것은 A_New_Hope.pptx 파일이다. 해당 ppt 파일을 열어보면 이렇게 생긴 슬라이드 하나만 덩그러니 있다. 그림들을 옆으로 치워봤는데 뒤쪽에 숨겨진 객체가 하나 있었다. 그런데 뭔가 파일이 깨진듯 엑스박스가 떠있었다. ppt 파일은 확장자를 .zip 으로 바꿔주면 일반 zip 파일처럼 압축을 풀어줄 수 있다. 압축을 풀면 이렇게 나온다. 이게 사진파일들이 들어있는 경로를 찾아간다. ppt > media 폴더로 들어가면 찾을 수 있다. image1.png 파일이 아까 봤던것 처럼 썸네일이 나오지 않는걸 볼 수 있다. HxD 로 열..

Medium 난이도의 포렌식 문제 스테가노그래피와 관련한 문제이다. 문제에서 주어지는 파일은 위와 같다. 가장 먼저 Stegsolve 라는 도구를 사용해봤다. 아래 경로에서 Stegsolve.jar 파일을 다운로드 받을 수 있다. (http://www.caesum.com/handbook/Stegsolve.jar) Stegsolve를 실행시켜서 File - Open으로 이미지를 불러오면 된다. 아래쪽에 있는 버튼을 누르면 이미지의 alpha, blue, green, red, xor 등등 다양한 값을 조정한 형태를 보여주게 된다. 하나씩 넘기다보면 중간에 이렇게 문자열이 보이게 된다. 처음엔 이게 플래그인줄 알았는데 아니었다. steghide 에서 사용하는 passphrase 였다. steghide extr..

CTFlearn의 여든아홉번째 문제 계속해서 이어지는 Hard 난이도 문제이다.. 이상하게 배점이 높은데 사실 그렇게 어렵진 않다. 문제에서 주어지는 것은 legotroopers.jpg 파일이다. 해당 파일을 HxD에서 열어 중간쯤으로 내려가봤다. JPG 파일은 항상 FF D9 라는 값으로 끝난다. 파일에서 FF D9 값이 나오면, 그 뒤에는 아무런 값이 없어야 정상이다. 그런데 이 파일은 FF D9 다음에 50 4B 03 04 로 시작하는 데이터가 오고있는것을 볼 수 있다. 이렇게 50 4B 03 04 로 시작하는 파일은 ZIP 확장자를 가지는 파일이다. 이런것을 파일 시그니처 라고 한다. 50 4B 03 04 부터 파일의 끝까지 추출해서 test.zip 으로 저장했다. 압축을 풀려고 봤더니 비밀번호가..

CTFlearn의 여든 일곱번째 문제 계속해서 Hard 난이도의 문제가 나와서 부담스러워 지기 시작했다. 이번엔 포렌식 문제이다. 문제에서 주어지는 것은 hereisyourflag.m4a 파일이다. 파일을 클릭해서 재생시켜보려 했더니 이런 문구가 떴다. 파일이 온전하지 않은 상태인듯 하다. 일단 HxD로 열어봤다. 아직까진 뭐가 문제인지 모른다. https://www.file-recovery.com/m4a-signature-format.htm MPEG4 Audio Signature Format: M4A,M4B,M4P Documentation and Recovery Examples MPEG-4 Part 14 Audio (M4A,M4B,M4P) Format & Recovery Example M4A is a ..

WAV 파일과 관련된 스테가노그래피 문제 문제 배점은 낮았는데 풀이 수가 엄청 적었다. 푸는 방법만 알면 쉽게 해결할 수 있는데 문제는 그 방법이 아주 잘 알려지지 않은 방법이었다는것.. 문제에서 주어지는 파일은 flag1.wav 파일이다. 파일을 재생시켜 보면 지이이잉 지이이잉 하는 귀아픈 소리가 들린다. 처음엔 wav 파일이라 기존에 문제 풀었던것 처럼 Audacity 나 DeepSound 도구를 이용해 풀어보려 했다. 하지만 해당 툴들로는 의미있는 결과를 얻을 수가 없었다. https://dood.al/oscilloscope/ https://dood.al/oscilloscope/ Set "Audio Volume" to zero to avoid feedback. Stereo input may not ..

PIL 라이브러리를 이용해 풀 수 있는 포렌식 문제 문제 제목이 참 장황하다. 문제 제목에서 pixel 이라는 단어를 통해 간접적으로 힌트를 주고 있다. 문제에서 제공되는 pip.png 파일은 이렇게 생겼다. 369 * 369 사이즈의 노이즈 처럼 생긴 사진이다. 아까 언급한것 처럼 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL import Image img = Image.open('pip.png').convert('RGB') xlen = 3..

HackTheBox 에서 제공하는 Easy 난이도의 포렌식 문제 문제 설명을 읽어보면 채용 담당자가 이상한 메일을 받아서 악성코드에 감염되었는데 이메일 사본과 메모리 덤프를 가지고 분석을 해달라 한다. 문제에서 제공되는 파일은 flounder-pc-memdump.elf 파일, imageinfo.txt, Resume.eml 파일 세가지이다. elf 파일이 메모리 덤프 파일이고, imageinfo.txt 는 volatility 를 이용해 메모리 덤프 파일에 imageinfo 플러그인을 실행한 결과, eml 은 이메일 사본이다. eml 파일을 열어보면 resume.zip 파일에 링크가 걸려있는데 해당 링크는 http://10.10.99.25:8080/ 주소로 연결되어 있는걸 알 수 있다. imageinfo.t..

CTFlearn 의 여든 네번째 문제 Medium 난이도의 포렌식 문제인데 이전에 비슷한 유형의 문제보다 살짝 어렵다. 문제설명을 읽어보면, Python 을 사용하면 편하다는데 안써도 충분히 풀 수 있다. 문제에서 제공하는 HailCaesar.jpg 파일은 이렇게 생겼다. HxD 를 이용해 해당 파일을 열어보면 시작부터 뭔가 눈에띄는 데이터들이 보인다. 좀더 깔끔하게 보기 위해 Sublime에 붙혀넣어서 확인해봤다. CTFlearn 으로 시작하는 플래그 같이 생긴애들이 보이고 밑에는 Base64로 인코딩 된듯한 데이터가 보인다. 당연하게도 이 세 가지는 진짜 플래그가 아니다. 힌트일거라고 생각해서 고민해보니 두번째 줄은 맨 앞글자만 모아서 보면 ASCII, 세번째 줄은 32 ~ 126 이라는 숫자에 주목..