hacking_security hacking_security

전체 글

• angstrom CTF 2020 write up

  $ Capture The Flag $ 2020. 3. 15. 00:25

  REV Revving Up 해당 첨부 파일을 실행 해서 문제를 실행해 보면 아래와 같습니다. argument에 banana가 있어야 한다고 합니다. banana 를 argument에 넣어서 다시 실행해 보겠습니다. Flag 출력하는 부분 까지 출력된 것을 확인 할 수있습니다. Shell 을 이용해서 해당 파일을 실행해서 Flag를 얻어 보겠습니다. Flag : actf{g3tting_4_h4ng_0f_l1nux_4nd_b4sh} Windows of Opportunity 첨부된 파일을 IDA에 넣어 보면 아래와 같은 문자열을 확인 할 수 있습니다. Flag가 평문으로 변수에 저장되어 있는 것을 알 수 있습니다. Flag : actf{ok4y_m4yb3_linux_is_s7ill_b3tt3r} Taking ..

  Read More

• zer0pts CTF 2020 write up

  $ Capture The Flag $ 2020. 3. 12. 23:50

  Forensics Locked KitKat 첨부파일은 안드로이드 디바이스의 내부 디스크 이미지 파일이고, 잠금해제 패턴을 찾아서 패턴입력을 하면 Clear가 되는 문제입니다. 해당 문제를 풀기 위해서 잠금해제 패턴과 관련되어 있는 파일을 찾아야 하는데 경로는 아래와 같습니다. 해당 파일 경로 : /system/gesture.key 해당 경로에 가서 해당 파일을 확인해보면 존재합니다. 이번에는 gesture.key 파일에서 패턴을 추출해주는 툴을 찾아보겠습니다. ↑ 경로 : https://github.com/sch3m4/androidpatternlock 아래의 방법을 따라 진행을 해보면 패턴을 발견 할 수 있습니다. http://13.230.161.88:10001/ 사이트에서 패턴을 입력해 보면 아래와 같..

  Read More

• UTCTF 2020 write up

  $ Capture The Flag $ 2020. 3. 9. 14:49

  Forensics Observe Closely 해당 문제를 확인해 보면 Footer Signature 이후에 ZIP 파일이 은닉되어 있는 것을 확인 할 수 있습니다. 해당 ZIP 파일을 카빙해서 데이터를 확인해 보겠습니다. hidden_binary 가 있습니다. 해당 파일은 ELF 파일이므로 리눅스 운영체제 에서 실행하면 될것 같습니다. Flag를 확인해 볼 수 있습니다. Flag : utflag{2fbe9adc2ad89c71da48cabe90a121c0} [basics] forensics 문제 파일을 확인 해보면 방대한 문자열 을 확인 할 수 있습니다. 방대한 문자열 이기 때문에 utflag{ 를 검색해보면 Flag를 확인 할 수 있습니다. Flag : utflag{fil3_ext3nsi0ns_4r3n..

  Read More

• Memory - GrrCON 2015 #26

  $ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:06

  공격자가 교환 서버를 제어하는데 사용한 파일의 이름을 찾는 문제 이기 때문에 프로세스를 확인해 보겠습니다. w3wp.exe프로세스가 엄청 많이 존재 합니다. 그리고 w3wp.exe 하위에 cmd.exe 프로세스가 많이 돌고 있습니다. 그렇기 때문에 하위 프로세스인 cmd.exe 의 PID값인 9248을 dump를 떠보겠습니다. strings 명령어로 dump파일에서 추출해보겠습니다. 키 포맷인 .aspx 을 보면 .aspx 를 검색해 보겠습니다. error1.aspx 라는 코드가 있습니다. 파일의 내용이 난독화 되어있는데 해당 값을 난독화 해제 해보겠습니다 Site : https://www.strictly-software.com/unpacker#unpacker 난독화 해제를 진행해 보니 base64 인코..

  Read More

• Memory - GrrCON 2015 #25

  $ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:05

  악성코드를 설치 했다는 것은 대부분 인터넷에서 설치하기 때문에 iehistory 플러그인을 이용해 보겠습니다. allsafe_update.exe 프로그램을 다운로드 한것을 확인 할 수 있습니다. Flag : allsafe_update.exe 출처 : 디지털 포렌식 with CTF

  Read More

• Memory - GrrCON 2015 #24

  $ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:04

  POS에서 화이트 리스트로 정의된 악성코드를 물어보는 문제 입니다. 일단 악성코드 덤프떠둔것을 이용해서 문자열을 탐색해 보겠습니다. 에디터로 열어서 확인을 해보면 아래와 같습니다. 악성코드는 .exe 확장자를 가지고 있을 가능성이 크기 때문에 검색을 해보았는데 맨위의 실행파일을 제외하고 나머지는 프로세스에서 본 실행 파일들입니다. 화이트리스트로 정의된 악성코드는 allsafe_protector.exe 입니다. Flag : allsafe_protector.exe 출처 : 디지털 포렌식 with CTF

  Read More

• Memory - GrrCON 2015 #23

  $ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:01

  먼저 iexplore.exe 프로세스 에 멀웨어가 있기 때문에 해당 악성코드를 분석하면 될것 같습니다. malfind 플러그인을 이용해서 멀웨어를 추출해 보겠습니다 추출한 데이터를 바탕으로 virustotal.com 에서 확인해 보면 공통적인 이름이 눈에 보입니다. Dexter 이 악성코드 명인것 같습니다. Flag : Dexter 출처 : 디지털 포렌식 with CTF

  Read More

• Memory - GrrCON 2015 #22

  $ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:56

  새로운 파일이기 때문에 imageinfo 를 해보겠습니다. Win7SP0x86 을 사용하면 될 것 같습니다. 멀웨어의 C&C 서버를 찾는 문제입니다. malfind 플러그인 을 이용하면 뭘웨어를 찾을 수 있습니다. 해당 프로세스가 멀웨어라면 C&C 서버와 통신을 하고 있을 것입니다. netscan 플러그인을 이용해서 PID 3208 을 찾아 보겠습니다. 54.84.237.92 입니다. Flag : 54.84.237.92 출처 : 디지털 포렌식 with CTF

  Read More