$ Capture The Flag $
-
Securinets-2K20 PreQuals CTF write up$ Capture The Flag $ 2020. 3. 23. 13:02
해당 이미지 메모리 덤프 파일을 대상으로 imageinfo를 진행해 보겠습니다. Win7SP1x86을 이용해 보겠습니다. filescan 플러그인을 이용해서 파일을 확인해 보면 눈에 띄는 파일이 있습니다. 사용자는 바탕화면을 자주 사용하기 때문에 경로를 살펴 보면 \Device\HarddiskVolume2\Users\studio\Desktop 였습니다. 아래와 같이 검색해 보면 아래와 같이 수상한 파일 2개를 확인 할 수 있습니다. steghide 와 DS0394.jpg 파일이 있기 때문에 해당 이미지 파일을 추출해서 steghide를 이용해서 은닉된 데이터를 추출해야 할 것 같습니다. 사진을 확인해 보면 오른쪽 아래에 2019/08/29 라고 되어 있습니다. 이제 steghide 에 사용할 비밀 번호를..
-
SuSeC CTF 2020 write up$ Capture The Flag $ 2020. 3. 23. 10:54
Forensic Little 해당 문제의 첨부 파일을 확인해 보면 아래와 같이 little.img_hash값 파일에서 little.img 파일을 추출 할 수 있습니다. little.img 파일을 HxD 로 열어보면 mkfs.fat 파일 시스템의 VBR을 확인 할 수 있습니다. 이제 해당 파일이 디스크 이미지 파일이라는 것을 알 수 있기 때문에 FTK Imager 로 열어 볼 수 있습니다. secondf.png 파일이 있는 것을 알 수 있습니다. 해당 파일을 확인해 보면 중간 Flag를 알 수있습니다. Flag2 : t0_7h3_3nd_0f_ 를 찾았습니다. 이제 나머지 Flag를 찾아야 하는데 FTK Imager 에서 확인 할 수 없습니다. 또한 binwalk를 통해서도 파일 카빙이 되지 않습니다. li..
-
angstrom CTF 2020 write up$ Capture The Flag $ 2020. 3. 15. 00:25
REV Revving Up 해당 첨부 파일을 실행 해서 문제를 실행해 보면 아래와 같습니다. argument에 banana가 있어야 한다고 합니다. banana 를 argument에 넣어서 다시 실행해 보겠습니다. Flag 출력하는 부분 까지 출력된 것을 확인 할 수있습니다. Shell 을 이용해서 해당 파일을 실행해서 Flag를 얻어 보겠습니다. Flag : actf{g3tting_4_h4ng_0f_l1nux_4nd_b4sh} Windows of Opportunity 첨부된 파일을 IDA에 넣어 보면 아래와 같은 문자열을 확인 할 수 있습니다. Flag가 평문으로 변수에 저장되어 있는 것을 알 수 있습니다. Flag : actf{ok4y_m4yb3_linux_is_s7ill_b3tt3r} Taking ..
-
zer0pts CTF 2020 write up$ Capture The Flag $ 2020. 3. 12. 23:50
Forensics Locked KitKat 첨부파일은 안드로이드 디바이스의 내부 디스크 이미지 파일이고, 잠금해제 패턴을 찾아서 패턴입력을 하면 Clear가 되는 문제입니다. 해당 문제를 풀기 위해서 잠금해제 패턴과 관련되어 있는 파일을 찾아야 하는데 경로는 아래와 같습니다. 해당 파일 경로 : /system/gesture.key 해당 경로에 가서 해당 파일을 확인해보면 존재합니다. 이번에는 gesture.key 파일에서 패턴을 추출해주는 툴을 찾아보겠습니다. ↑ 경로 : https://github.com/sch3m4/androidpatternlock 아래의 방법을 따라 진행을 해보면 패턴을 발견 할 수 있습니다. http://13.230.161.88:10001/ 사이트에서 패턴을 입력해 보면 아래와 같..
-
UTCTF 2020 write up$ Capture The Flag $ 2020. 3. 9. 14:49
Forensics Observe Closely 해당 문제를 확인해 보면 Footer Signature 이후에 ZIP 파일이 은닉되어 있는 것을 확인 할 수 있습니다. 해당 ZIP 파일을 카빙해서 데이터를 확인해 보겠습니다. hidden_binary 가 있습니다. 해당 파일은 ELF 파일이므로 리눅스 운영체제 에서 실행하면 될것 같습니다. Flag를 확인해 볼 수 있습니다. Flag : utflag{2fbe9adc2ad89c71da48cabe90a121c0} [basics] forensics 문제 파일을 확인 해보면 방대한 문자열 을 확인 할 수 있습니다. 방대한 문자열 이기 때문에 utflag{ 를 검색해보면 Flag를 확인 할 수 있습니다. Flag : utflag{fil3_ext3nsi0ns_4r3n..
-
2020 NEWSECU CTF write up$ Capture The Flag $ 2020. 2. 23. 12:51
File Forensic Disk 문제 파일을 압축 풀어보면 아래와 같이 newsecu 라는 파일이 하나 나옵니다. 파일의 hex값을 확인해보면 아래와 같습니다. 알 수 없는 값을 띄고 있지만, 비밀번호를 같이 준것으로 보아 TrueCrypt로 암호화 했을 가능성이 있습니다. TrueCrypt를 이용해서 mount를 해보겠습니다. mount가 완료 되었고 디스크 안에 있는 파일을 확인해 보겠습니다. 50.0MB 짜리 가상 하드디스크 인 vhd 파일이 존재합니다. 하지만 마운트를 하기 위해서 Arsenal Image Mounter를 이용했지만 아래와 같은 창이 출력 됩니다. 데이터가 손상된 것 으로 확인이 됩니다. hex값을 확인해 보면 PASSWORD RECOVERY 라는 문자열을 확인 할 수 있습니다...
-
NeverLAN CTF Write up$ Capture The Flag $ 2020. 2. 14. 16:18
Forensic Listen to this 해당 문제를 다운해보면 mp3 파일이 하나 있는데 해당 파일을 Audacity 에 넣어 보겠습니다. 파일을 넣고 나서 스펙트럼으로 바꿔서 맨 앞부분을 보면 위와 같이 어떠한 값을 확인 할 수 있습니다. 2개의 채널을 보면 위에 채널은 특정값이 없는 부분이고, 아래의 채널은 특정 값이 있는 부분입니다. 그렇기 때문에 아래의 채널 - 위의 채널 을 해보면 모스부호만 추출할 수 있을 것 같습니다. sox 라는 프로그램을 이용해서 2개의 채널을 분리 한다음 차이점을 파일로 추출할 수 있습니다. 아래의 명령어로 sox 를 설치 할 수 있습니다. 2개의 파일을 추출 합니다. 그리고 아래의 명령어로 차이점을 추출해 낼수 있습니다. Audacity 를 확인해 보면 아래와 같이..
-
HackTMCTF Write up$ Capture The Flag $ 2020. 2. 6. 00:04
Forensic Strange PCAP 파일을 열어보면 Protocol이 USB로 나와있습니다. USB Protocol 이란? 로컬 컴퓨터와 USB 사이의 통신 내용을 패킷으로 잡을때 사용되는 Protocol 입니다. Info에 다양한 통신 기록이 존재 합니다. 그중에서 데이터를 담을 만한 Info 는 usb.transfer_type이 0x01 인 "URB_INTERRUPT in" 입니다. filter 에서 usb.transfer_type == 0x01 을 입력하면 Info 가 URB_INTERRUPT in 인 패킷만 출력이 되게 됩니다. 그리고 URB_INTERRUPT in 에 데이터를 담기 위해서는 Capture Data 에 들어있습니다. 위와 같이 Leftover Capture Data 에 값이 들..