보안맨

암호학이 살짝 가미된 포렌식 문제 대회에서는 stego 로 분류되어 있었다. Tenable CTF 가 참신하고 재밌는 문제들이 많이 나오는것 같다. 문제에서 주어지는 것은 turtles128.zip 파일이다. 압축을 풀려고 보면 비밀번호가 걸려있다. ZIP 파일 비밀번호를 crack 하는데는 John the Ripper 라는 도구를 이용했다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john hash 명령어로 비밀번호를 crack 해주면 된다. 해당 파일의 비밀번호는 0 이었다. 압축을 풀면 turtles127.zip 파일이 나오는데 이 역시도 암호가 걸려있다. 역시나 똑같은 방법으로 해보면 비밀번호는 0 으로 되어있는..

포렌식에 암호학이 살짝 섞인 문제 문제 설명에 monk 라는 단어가 나오는데 이게 문제풀때 큰 힌트가 된다. 문제에서 주어지는 것은 shield.png 파일이다. 열어보면 이렇게 생겼다. HxD로 해당파일을 열어서 스크롤을 내려봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 89 50 4E 47 라는 문자열이 새로 나오는 것을 볼 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 그러니까 이 파일은 PNG 파일 뒤에 또다른 PNG 파일이 있는 것이다. 뒤에 있는 PNG 파일을 복사해서 새로만들기 하면 이..

생각보다 자주 보이는 유형의 스테가노그래피 문제 오래전에 블로그에서도 유사한 문제를 다룬적이 있다. (https://hackingstudypad.tistory.com/125) 두개의 사진에서 숨겨진 데이터를 찾는것이 문제의 목표이다. 문제에서는 crypted1.png, crypted2.png 파일 두개가 주어진다. 각 이미지는 이렇게 생겼다. 노이즈처럼 지지직 하게 생긴 이미지가 두개 주어진다. 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL ..

또다시 간단한 포렌식 문제 Tenable CTF 에서는 이런 간단간단한 문제들이 많이 나온다. 문제에서 주어지는 파일은 silly_hacker.svg 파일이다. svg 파일은 Scalable Vector Graphics 의 약자로 웹 친화적인 벡터 파일을 말한다. 쉽게말하면 웹 브라우저로 열어볼 수 있는 사진파일이다. 실제로 해당 파일을 더블클릭해서 열어보면 Edge 가 실행되고 어나니머스 해커의 사진이 나타난다. 웹 브라우저를 이용해서 열린 파일이니 개발자도구를 이용하면 추가적인 정보를 확인할 수 있다. F12를 눌러 개발자도구를 열고 소스탭을 확인해봤다. 소스의 맨 아래쪽으로 내려보니 숨겨져 있던 플래그를 찾을 수 있었다.

EASY 난이도의 포렌식 문제 sysadmin 으로서 누군가가 USB 를 이용해 중요 정보를 가지고 나간걸 찾아내라고 한다. 문제힌트도 함께 주어진다. once you find it, "crack" it 잘 기억해 둔다. 문제 파일로는 두개의 파일이 주어진다. 첫번째 파일은 syslog 파일이다. 일부만 가져왔는데 파일 크기가 무려 90만줄이다.. USB를 연결할 때마다 해당 USB의 Product, Manufacturer, SerialNumber 를 로그로 남기는듯 하다. 두번째로 주어지는 파일은 auth.json 파일이다. 이 파일에는 json 형태로 인가된 USB의 Product, Manufacturer, SerialNumber 값을 저장하고 있다. syslog 에서 식별된 값이 auth.json ..

MEDIUM 난이도의 포렌식 문제 문제 설명을 읽어보면 해커가 내부 네트워크에 접근해서 고객 DB를 털어갔따고 한다. 고객 중 하나가 범인이라는데 누군지 잡아달라고 한다. 문제에서는 패킷파일이 주어진다. 주어진 패킷 파일은 Wireshark 라는 도구로 열어볼 수 있다. 주어진 패킷파일을 와이어샤크로 열어보면 10.0.2.15 에서 10.0.2.3 주소로 계속 패킷을 보내는 것을 볼 수 있다. 10.0.2.15 가 해커의 주소이고 뭔가 열린 포트를 찾기위해 스캔하는것 처럼 보인다. 계속 내리다가 2,550 번째 패킷 쯤 가면 TELNET 프로토콜을 이용해 뭔가 데이터를 주고받은 흔적이 보인다. 해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러서 확인해본다. 서버에서 admin / ..

안드로이드와 관련된 문제 어렵지 않게 풀 수 있다. 문제에서 주어지는 것은 cat.ab 파일이다. .ab 파일을 이번 문제를 통해 처음 접했는데 Android Backup 파일이라고 한다. .ab 파일의 내용을 확인하려면 abe.jar 라는 도구가 있어야 한다고 한다. https://sourceforge.net/projects/android-backup-processor/ android-backup-processor Download android-backup-processor for free. Android adb backup extractor and packer. None sourceforge.net 해당 도구는 위 링크에서 다운받을 수 있다. 다운받고 보니 왠지모르게 abp.jar 라는 이름으로 나오..

스테가노그래피와 관련된 MEDIUM 난이도 문제 쉬운듯 쉽지않은 문제이다. 문제에서 주어지는 파일은 digitalcube.txt 파일이다. 해당 파일을 열어보면 이렇게 1과 0으로 이루어져있다. 글자수를 세어보니 총 2,500 글자였고, 문제 설명에 적혀있는 TIME ELAPSED: 50:50 이라고 적힌 부분이 힌트이지 않을까 생각해 50글자씩 끊어서 정리해봤다. 그럼 이렇게 생긴 데이터가 나온다. 두 줄씩 같은 내용이 반복적으로 적혀있는게 보이는데 이게 대체 뭐지 하고 한참 쳐다보다가 의자를 조금 뒤로 빼고 멀리서 봤는데.. QR코드였다.. Google Docs 에 해당 데이터를 복붙한 뒤 1로 되어있는 부분만 까만색으로 형광펜 쳐서 색을 입혔다. 휴대폰 카메라로 조금 멀리서 찍어보니 플래그가 나왔다.

이메일, 모스부호와 관련된 포렌식 문제 할머니가 이메일을 보내셨는데, 뭔가 숨겨진 메세지가 있는것 같다고 한다. 주어진 tmp.eml 파일은 Outlook 을 이용해서 열어볼 수 있다. Outlook 을 이용해서 eml 파일을 열어보면 할머니가 보내신 이메일 하나가 덩그러니 있다. ffg.jpg 라는 파일을 첨부해서 특별한 내용 없이 메일을 보내셨는데, 뭔가 이상항 부분이 눈에 띈다. 할머니 메일 주소 밑에 FWD: RE: 가 규칙없이 반복적으로 나타나고 있는 모습이다. FWD: 와 RE: 가 나오는 부분이 띄어쓰기로 구분이 되어있어서 보기 쉽게 엔터를 쳐서 살펴보았다. 중간중간에 { 와 } 기호가 보이는 것으로 보아 이 부분이 플래그인게 확실하다. CyberChef(https://gchq.github...

HackTheBox 에서 제공하는 쉬운 난이도의 포렌식 문제 스티븐 호킹의 컴퓨터에서 수상한 파일이 발견되었는데, 무엇인지 알아내라고 한다. 문제에서 주어지는 것은 Blackhole.zip 파일이다. 파일을 보면 Blackhole.zip 파일안에 archive.zip 이라는 또다른 zip 파일이 있고, 그안에 hawking 이라는 파일이 들어있다. 왜 그런진 잘 모르겠는데 전체 압축파일인 Blackhole.zip 파일은 56.7kb 인데 실제 압축된 파일인 hawking 은 크기가 0 으로 나왔다. 윈도우 환경에서 압축을 풀어볼랬더니 잘 안됐다. 리눅스 환경에서 unzip 명령어를 이용해 풀어보니 정상적으로 압축이 풀렸다. file 명령어로 hawking 파일을 확인해보니 jpg 파일이라고 나왔다. ha..