$ Capture The Flag $
-
OtterCTF Memory Forensic write up$ Capture The Flag $ 2020. 1. 16. 21:29
다운로드 받은 메모리 파일의 user password를 구하는 문제 입니다. 먼저 해당 메모리 파일의 Profile을 알아 보겠습니다. Win7SP1x64 를 이용하면 될 것 같습니다. User의 Password를 알아 내기 위해서 SAM 파일과 SYSTEM 파일을 이용해서 NTLM Hash을 알아 보겠습니다. 518172d012f97d3a8fcc089615283940을 해시값으로 여러 NTLM 해시 크래킹 사이트를 이용했지만 성공하지 못했습니다. 이번에는 문자열로 Password를 시스템 LSA 암호에 저장할수도 있기 때문에 lsadump 플러그인을 이용해 보겠습니다. DefaultPassword에 MortyIsReallyAnOtter이 있습니다. Flag : CTF{MortyIsReallyAnOtte..
-
UTC-CTF write up$ Capture The Flag $ 2019. 12. 22. 17:33
MISC ezip (baby) zip file의 비밀번호를 cat.png 에서 찾아서 flag를 얻는 문제입니다. 먼저 exiftool 명령어로 Comment에 어떤 문자열이 있는지 확인해 보겠습니다. ZIP File의 비밀번호는 e4syp4ssf0rz1p입니다. 압축을 해제하고 flag.txt를 열면 아래와 같습니다. Flag : utc{ex1f_ru135_4ll_7h3_w4y} Optics 1 (baby) 문제 파일을 확인해 보면 헤더 시그니처가 깨져 있습니다. 시그니처를 89 50 4E 47 0D 0A 1A 0A로 변경을 하고 사진을 열어보겠습니다. QR Code 를 인식해보면 flag를 얻으실 수 있습니다. Flag : utc{dang_you_know_qr_decoding_and_shit} Opt..
-
X-MASCTF Write up$ Capture The Flag $ 2019. 12. 21. 22:51
Forensic Santa's Forensics 101 파일을 다운 받고 열어보면 사진파일이 하나 있습니다. 하지만 열리지는 않으니 HxD를 이용해서 확인을 해보면 아래와 같습니다. ZIP 파일입니다. 압축을 해제해 보면 아래와 같은 폴더가 나옵니다. 사진에는 뭐 없는것 같아 보입니다. HxD로 열어서 확인을 해보겠습니다. Footer Signature 뒤에 Flag가 존재 합니다. Flag : X-MAS{W3lc0m3_t0_th3_N0rth_Pol3} Santa's letter 해당 문제를 한번 확인해 보겠습니다. 여기서 얻을 수 있는 숨겨져 있는 힌트는 Invisible lnk 와 Hide&Seek 입니다. 첨부 되어 있는 사진은 아래와 같습니다. HxD로 확인해 보면 아무런 이상한 점이 없습니다. ..
-
RITSEC CTF Write up$ Capture The Flag $ 2019. 11. 20. 23:28
Stego the_doge 파일을 분석해 보니.. 아무것도 나오지 않아서 문제를 다시 읽어 보았습니다. feed the doge a treat to get the hidden message 를 보고 steghide 를 이용해야 할것 같다 생각이 들었고, treat 를 비밀번호로 사용해 봤습니다. doge_ctf.txt 파일을 열어보면 Flag 를 확인할 수 있습니다. Flag : RITSEC{hAppY_l1L_doG3} HD Pepe 해당 문제를 보면 exiftool 을 이용해서 확인해 보겠습니다. github 주소를 찾아 볼 수 있습니다. https://github.com/cyberme69420/hdpepe 들어가 보면 아래와 같은 파일이 있습니다. encoder.py 를 확인해 보겠습니다. 위의 소스..
-
HCTF Write up$ Capture The Flag $ 2019. 11. 18. 13:09
Forensic Normal Forensic pcapng 파일을 좋은 가독성과 빠른 분석을 위해서 pcapng 파일을 pcap 파일로 변환을 해보겠습니다. (NetworkMiner 에는 pcapng 파일이 안들어가서) 그리고 networkminer 에 넣어보면 아래와 같이 Messages 목록에 3개가 있는것을 확인 할 수 있습니다. 해당 파일들은 전부 메일이며 데이터를 정리해 보면 아래와 같습니다. 그중 Frame 16529번을 보면 password 가 있지만 IT IS NOT FLAG 로 FLAG가 아니라고 이야기 하면서 다른 파일은 Secret Channel을 통해서 보냈다고 합니다. 그렇다면 Secret Channel을 통해서 보내진 파일은 .zip 또는 .7z 와 같은 압축관련 파일일것같고 거기..
-
Newbie CTF write up$ Capture The Flag $ 2019. 11. 7. 09:55
Misc Discord Flag : KorNewbie{W31C0m3_t0_0ffiC14l_D1$C05d} NC_MIC nc 연결하면 flag를 줍니다 Flag : KorNewbie{W3lC0m3_T0_K0RN3wB13_W4RG4M3!!!!!} Catch Me 문제를 열어보면 아래와 같습니다. 이런 배경에 검은 점들이 왔다갔다 합니다. gif 파일 인것으로 보아 여러개의 프레임이 겹쳐져서 만들어 졌을 것 이라 생각했고, 프레임 별로 추출해 주는 코드를 작성해 보았습니다. 아래와 같은 프레임 사진들이 나왔지만 중첩되서 나온것을 알 수 있습니다. 그래서 온라인 툴을 이용했습니다. https://ezgif.com/split/ezgif-3-4e6e77b33116.gif 첫번째 사진을 예시로 해서 flag 를 찾아..
-
Shadow CTF write up$ Capture The Flag $ 2019. 11. 5. 23:25
Example Hello Flag : SHADOW{He11o_W0rld!} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ Web SourceCode 사이트에 들어가 보면 아래와 같습니다. 소스코드를 백업 시켜두는 파일인 index.phps 를 들어가 보면 아래와 같은 코드를 확인 할 수 있습니다. eval(gzinflate(base64_decode())) 이므로 아래의 사이트 에서 실행을 해보겠습니다. http://www.tareeinternet.com/scripts/decrypt.php DQogJGZhbGcgPSAiU0hBRE9Xe1BIUF8zTkMwRDFOR30iOyA= 를 base64로 디코딩을 하면 아래와 같은 Flag 를 얻을 수있습니다. Flag :..
-
HolyShield CTF write up$ Capture The Flag $ 2019. 10. 28. 13:32
Forensic Leak1 문제를 압축 해제를 하고 vmdk를 문자열 검색을 해보면 아래와 같습니다. Flag : HS{Y0u_4re_7hE_B3sT_rEpairm4N} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ Web Hidden Board[서버가 닫힘..] 먼저 robots.txt 에 들어가서 관리자 페이지 URL 을 획득한다. 관리자 페이지는 아래와 같습니다. 해당 사이트에 들어가 보면 이런 식의 화면이 출력이 됩니다. eval 과 f라는 변수에 값이 없다는 에러 문과 file_get_contents 라는 함수가 filename 이 비어있다고 함녀서 Warning 으로 뜹니다. file_get_contents를 보고 lfi 공격을 할 수가 있습니다. ..