$ Wargame $
-
[FileSystem] FILE Record - Fixup Array$ Wargame $/$ digital forensic $ 2020. 1. 29. 17:20
FILE Record에서 Fixup Array 부분에 대한 문제 인것 같습니다. 해당 파일의 hex값을 확인해 보면 아래와 같습니다. key{}의 Flag 형식은 확실하게 눈에 들어 옵니다. MFT Entry Header 의 구조를 확인해 보면 아래와 같습니다. 노란색 부분을 유심히 보면 Fixup Array 관련 데이터를 가지고 있습니다. 각각의 데이터가 어떤 의미를 가지는지 아래의 표를 확인해 보겠습니다. Offset to Fixup Array 는 Fixup Array의 시작위치를 의미합니다. 해당 값을 확인해 보면 0x30 이라는 것을 알 수 있고, 해당 값을 확인해 보겠습니다. Fixup은 MFT Entry의 데이터 무결성을 판단하기 위해 존재합니다. MFT Entry는 각 2개의 섹터(1024 ..
-
[FileSystem] FILE Record - Filename, Contents$ Wargame $/$ digital forensic $ 2020. 1. 29. 12:48
문제파일을 받아서 hex값을 확인해 보면 46 49 4c 45 의 FILE Header Signature 를 가지고 있습니다. 디스크 조각의 일부라고 하는데, MFT File 이라는 것을 알게 되었습니다. 실제 MFT 파일의 HEX값을 확인해보면 아래와 같습니다. 아래의 파일은 첨부된 File인 filerecord01의 Hex값을 확인해 보면 아래와 같습니다. 그렇기 때문에 첨부된 파일은 MFT File의 조각이라는 것을 알수 있습니다. MFT File 이란? NTFS 상의 모든 파일들의 MFT Entry 정보를 유지하고 있으며, MFT 영역의 크기, 위치, 할당 정보를 저장하고 있는 파일입니다. 또한 기본적으로 MFT 파일에 데이터를 저장하지는 않지만 파일의 용량이 700바이트 이하면 MFT Entry..
-
[Network] FTP - file upload$ Wargame $/$ digital forensic $ 2020. 1. 27. 14:11
Download 파일인 pcapng 파일을 확인해 보면 많은 프로토콜 중에서 FTP 가 있는 것을 확인 할 수 있습니다. (물론 문제 제목에서 FTP 라고 되어 있기 때문에 예상 할 수 있는 내용입니다.) ftp 라고 필터링을 해보면 ftp로 통신한 데이터를 확인 할 수 있습니다. 우클릭 - Follow - TCP Stream 를 클릭해 보면 아래와 같이 확인 할 수 있습니다. 위의 FTP 내역을 확인해 보면 PORT 설정이 완료된후 "STOR ..........(190404).docx" 라는 문자열을 확인 할 수 있습니다. 또한 바로 아래에 "150 Data connetion established, beginning transfer" 라는 문자열과 "226 Transfer complete"이라는 문자열..
-
[FileSystem] FAT - Directory Entry$ Wargame $/$ digital forensic $ 2020. 1. 27. 13:53
LFN Format 으로 저장되어 있는 파일을 제시해 주고 거기에 저장 되어 있는 파일의 이름을 맞추는 것이 문제입니다. 먼저 우리가 공부할 LFN File 이 어떤 파일인지를 알아봐야 합니다. 이전에 포스팅했었던 디렉터리 엔트리 분석 [Directory Entry Analysis] 글에 나와있는 LFN Format 문제입니다. 하지만 그당시에는 유니코드 관련 내용을 넣지 않았는데, 문제에서는 유니코드를 다루고 있습니다. 해당 파일을 HxD로 열어보겠습니다. LFN File 구별 가능한 0x42라는값이 적혀있는것같습니다. 위에는 SYSTEM~1 이라고 되어있고, 그리고 아래는 어떤 이상한 값에 ~1HWP 라고 되어 있습니다. 일단 ~1 이라고 적힌 이유는 파일명이 8바이트를넘어가면 ~1 이라고 적고 다른..
-
[Hack The Box] Web - Cartographer$ Wargame $/$ Hack The Box $ 2019. 11. 23. 02:01
이번문제도 host 와 port 를 결합해서 한번 접속을 해보겠습니다. SQL Injection..? 이라는 생각이 좀 드네요 Username : admin / Password : 1234 로 한번 로그인 해보겠습니다. 화면이 그냥 있는 그대로 나오게 됩니다. 이번에는 sql injection을 해보겠습니다. Username : admin / Password : ' or '1=1 을 넣어 보겠습니다. URL은 http://docker.hackthebox.eu:30049/panel.php?info=home로 변경되었고 화면은 아래와 같습니다. 공사중이라고 되어 있네요. ?info=home 으로 되어있는게 좀 거슬려서 ?info=flag 로 바꿔보앗다. 놀랍게도 Flag 등장! Flag : HTB{Map_T..
-
[Hack The Box] Web - Lernaean$ Wargame $/$ Hack The Box $ 2019. 11. 23. 02:00
문제를 접속하기 위해서 위와 같이 Instance를 Start 하면 host와 port 가 출력이 됩니다. docker.hackthebox.eu:32759 에 접속을 해보면 아래와 같습니다. 소스코드에는 특별하게 뭐가 없습니다. password를 입력해 보면 아래와 같이 문자열이 출력됩니다. 그렇기 때문에 password를 찾아야 하는것 같습니다. hydra 명령어를 이용해서 유명한 password 사전 파일인 rockyou.txt 를 이용해서 password를 브루트 포싱을 해보겠습니다 admin의 password는 leonardo 였습니다. leonardo를 입력해 보면 아래와 같이 출력됩니다. 프록시로 잡아서 확인해 봐야 할거 같습니다. Request의 Header는 아래와 같습니다. 저희가 입력한..