$ 포렌식 $
-
Multimedia - Hash$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 09:16
문제 파일 Password로 열어보면 다음과 같이 zip파일 하나와 사진파일하나 나옵니다. 잠겨 있기 때문에 jpg 파일로 password 를 찾아야 합니다. exif 정보를 확인하던중 base64 암호화 된 문자열을 찾았습니다. base64 복호화를 진행해 보겠습니다. hash값이라고 생각되는 문자열이 나왔습니다. md5라고 생각이 되어서 복호화를 시켜보겠습니다. j0k3r 이 Password 입니다. 파일 2개가 생성되었고, zip파일을 확인해 보겠습니다. 또 락이 걸렸네요. history.txt 파일에서 Password 를 찾아야 하는것 같습니다. 이상한 문자열들이 있는데 영어는 맞는데 중간중간에 숫자와 대문자도 있는 것 같습니다. 숫자랑 대문자만 추출해 보겠습니다. Password로 TP4J4KA..
-
Multimedia - 우리는 grayD의 49개 음영을 가지고 있습니다.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 09:10
문제 파일을 열어보면 옛날 티비를 연상케 하는.. 그런 사진이 있다. 문제를 보면 총 50개의 색이 들어있어야 하는데 49개의 색이 들어있다고 합니다. Hint에 우리는 어떤 색을 어떻게 설명할 수 있나요? 라고 되어있지만 사진에 있는 색을 보기 위해서는 픽셀 단위로 끊어야 합니다. 대충 방법은 이렇습니다. 픽셀단위로 값을 가져와서 해당 값을 정렬해서 나열했을때 규칙상 없는 색이 정답일 것이다. 라고 생각했습니다. 위의 사진이 문제 사진입니다. 다음과 같은 코드를 작성해서 안에 사용된 색을 확인해 보겠습니다. 생각보다 매우 간단한 코드입니다. 0 0 0 이런식으로 RGB가 나열되기 때문에 하나만 사용해서 비교해도 무방합니다. 정렬한 값인데 5씩 띄어지는 것을 확인할 수 있고, 80 이라는 숫자가 없다는 ..
-
Multimedia - 뱀$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 09:01
문제 압축을 풀어보면 MP3파일 하나가 있습니다. 하지만 HEX를 보면 다음과 같습니다. 그냥 TEXT 파일이네요. : 를 공백으로 만들어서 어떤 값인지 한번 확인해 보겠습니다. base64 암호화 된 문자열이네요. 복호화를 해보겠습니다. 나온 문자열을 보면.. 살짝 이상합니다. #!/hfe/ova/clguba sebz fgevat vzcbeg znxrgenaf xb = "nvbhHa" pbx = "@195hA" xbpbxvy = znxrgenaf(xb, pbx) fghe ="\0k54\0k68\0k65\0k20\0k46\0k4p\0k41\0k47\0k20\0k2q\0k3r\0k20\0k6o\0k55\0k61\0k35\0k41\0k54\0k75\0k48\0k61\0k6r\0k79\0k41\0k6r\0k3..
-
Multimedia - basisSixtyFour$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 11. 08:58
문제파일의 압축을 풀면 Wh4Tis1t.png 파일이 있습니다. hex를 확인해 보면 특정한 문자열이 들어있는데 문제 제목을 보면 베이시스64? base64를 연상케 합니다. base64 로 복호화하면 png 파일 문자열이 나옵니다. 한번에 복호화와 파일변환까지 해보겠습니다. qrcode가 하나 나옵니다. 스캔해보겠습니다. https://www.onlinebarcodereader.com/ Flag : 1bT3aMj4b0Det4b3K 출처 : 디지털 포렌식 with CTF
-
Multimedia - 모두 비밀번호를 txt파일...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 10. 16:17
파일을 열어보면 워드 파일이 하나 있습니다. 아래의 내용을 보면 89 50 4E 47... 어디서 많이본 값이죠? PNG 파일의 Header signature입니다. 아래의 값이 생각보다 많기 때문에 파일로 한번 만들어 보겠습니다. 어떤 문자열이 보입니다. 하지만 크게 보면 다음과 같이 깨져 보입니다. Hex를 다시 한번 보면 Footer signature 뒤쪽에 zip 파일 시그니처가 있습니다. 저아래에 flag.txt 파일도 보이네요. zip파일을 추출해서 flag.txt 를 확인하겠습니다. Flag : h4ck1t{rtf_d0cs_4r3_awesome} 출처 : 디지털 포렌식 with CTF
-
Multimedia - 그림을 보아라$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 10. 15:49
해당 사진을 한번 확인해 보겠습니다. 오른쪽 아래 사진을 보면 there is no anything useful in the archive except pictures? 라는 문자열이 있습니다. => 그림 이외의 아카이브에는 유용한 것이 없습니까? 라는 이야기 인데 아카이브가 있는거 같습니다. 오른쪽 위에 패스워드를 저장해 둔 파일이 있는 URL이 있습니다. http://goo.gl/2Tig1v URL에 들어가 보면 다음과 같이 archive.zip 파일이 있습니다. 다운로드를 해서 한번 확인해 보겠습니다. 사진파일이 아닌 다른것에 초점을 맞추는 것같아서 Thumbs.db 라는 파일을 한번 열어 보았습니다. thumbs viewer 를 이용해서 한번 열어보겠습니다. 이런식으로 파일이 나옵니다.저장해서 확..
-
Multimedia - 답을 찾고 제출해라!$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 10. 15:48
파일을 다운로드 해서 확인해 보면 다음과 같이 Footer 시그니처 다음에 문제가 있습니다. PK 시그니처 이므로 .zip 파일 입니다. binwalk로도 확인할 수 있습니다. 추출해 보겠습니다. zip파일의 내부에 usethis 라는 파일이 있습니다. 한번 확인해 보겠습니다. 저 URL은 steghide 명령어를 사용할 수 있도록 하는 설치 사이트 입니다. steghide를 사용하라는 의미 인것 같아 보이지만 steghide를 사용하려면 password가 필요합니다. password로 생각되는 문자열을 찾아 보겠습니다. 다른건 다 봤던 문자열 이지만 Delta_Force\m/ 라는 문자열을 찾을 수 있습니다. key_stego_1 이라는 파일이 나옵니다. 내용을 확인해 보겠습니다. Flag : PrAg..
-
Multimedia - 우리는 바탕화면 캡쳐본을 얻었다.$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 7. 10. 15:47
사진을 확인해 보도록 하겠습니다. 이러한 사진이 존재 합니다. 사진을 유심히 한번 확인해 보면 HxD 프로그램이 켜져있고, HxD프로그램 사진이 그림판에 올라가 있습니다. 하지만 그림판을 유심히 확인해 보면 채우기 기능이 선택 되어 있는 것을 확인 할 수 있습니다. 그래서 해당 사진을 그림판에 넣어 봤습니다. HxD 프로그램 위에 색채우기를 해보겠습니다. Flag 가 나타납니다. Flag : SECCON{the_hidden_message_ever} 출처 : 디지털 포렌식 with CTF