$ Wargame $/$ Suninatas $
-
[Forensic] Level 32 [180pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 14:10
문제 파일을 다운 받아 보겠습니다. 파일이 손상 되서 마운트가 안된다고 하니까 Hex값을 확인해 보겠습니다. FAT32 파일 시스템으로 되어 있는 것 같습니다. 그렇다면 한번 각각의 포맷과 일치 하는지 확인해 봐야 할것 같습니다. EB 58 90 4D ~~ 인것으로 보아 부트 레코드 부분이 시작되는 것 같습니다. 위의 항목과 Hex 값을 비교할때 부트 레코드가 손상 되었는지 아닌지를 알기위한 시그니처의 위치가 좀 앞당겨 졌습니다. 올바른 값에 넣어 주기 위해서 중간의 00 의 널 부분에 추가를 해주겠습니다. 1FE - 126 = D8 만큼 널을 넣어주면 됩니다. 그리고 마운트를 해보겠습니다. 마운트 성공 입니다.! 이제 문제를 확인해 보면 다음과 같습니다. 다음 테러 계획이 들어있는 문서의 수정 일시는 ..
-
[Forensic] Level 31 [200pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 14:09
이번에는 악성 PDF 입니다. 파일을 한번 열어보겠습니다. PDF 내부에 문제는 따로 없는 것 같습니다 . PDF 를 분석할 수 있는 툴을 이용해서 한번 문제를 풀어 보겠습니다. 왼쪽 Object를 좀 보다 보니 다음과 같은 JS Code가 있습니다. JS 코드가 있는데 아래에 base64 encoding 된 문자열이 있습니다. 해당 문자열을 디코드 해보겠습니다. Key가 아니라고 하네요 아래 Object를 들어가 보면 %PDF-1.7이라는 PDF 시그니처가 있습니다. 해당 Object를 추출하겠습니다. 파일 저장후에 확인해 보면 다음과 같이 잠겨있는 것을 확인 할 수 있습니다. https://smallpdf.com/kr/unlock-pdf 위의 사이트에서 비번을 풀고 다시 dumper에 넣어 보겠습니다..
-
[Forensic] Level 30 [366pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 14:08
문제 파일을 다운 받아보겠습니다. 일단 문제의 파일은 메모리 덤프이기 때문에 분석함에 있어서 volatility를 사용해야 합니다. volatility를 이용해서 info를 한번 확인해 보겠습니다. 편의를 위해서 이름을 Memory로 변경해서 문제 풀이를 해보겠습니다. Win7SP1x86이네요 그러면 이제 첫번째 문제인 pc의 ip주소를 한번 알아 보겠습니다. netscan을 이용해서 ip를 알아본 결과 192.168.197.138이라는 것을 알 수 있습니다. 그리고 두번째문제를 보면 열어본 파일의 이름을 찾는 문제입니다. 파일을 열었다는 것은 프로세스가 실행 됬을 것이라는 뜻도 되기 때문에 문제를 해결하기 위해서 vol.py 에서 사용할 수 있는 pstree를 사용해 보겠습니다. 프로세스 중에서 cmd..
-
[Forensic] Level 29 [266pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 14:02
이제 진짜 포렌식 다운 문제가 나온 것 같다. (필자는 이런 디스크 포렌식 및 메모리 포렌식을 더 좋아한다.!) 파일을 다운 받아서 HxD를 열어보겠습니다. EGG 파일 포맷이 있는거로 보아 .egg 압축파일 이라는 것을 알 수 있습니다. VM Ware 환경이 압축되어 있었습니다. 그렇다면 이미지 파일인 .vmdk 파일을 가지고 분석을 시작해 보겠습니다. 분석을 할때에는 이미지 분석도 하기 쉽고 추출도 하기쉬우며 Hex값까지 확인 할 수 있는 WinHex를 이용하도록 하겠습니다. 먼저 첫번째 문제가 웹 서핑은 잘되는데 네이버만 들어가면 사이버 경찰청 차단 화면으로 넘어간다고 합니다. 해당 문제점은 dns가 문제 있거나, hosts 파일을 조작해서 다른 사이트로 리다이렉트 되는 문제 입니다. hosts파일..
-
[Forensic] Level 28 [200pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 14:00
down 을 클릭해서 파일을 받아 줍니다. 브루트포스를 하지 말라고 되어있군요. 비번은 없는데 전부 비번이 걸려있습니다. 그렇다면 zip file format과 관련된 문제 같습니다. 저 드래그 부분이 압축방법을 나타낸 값입니다. 09 08 로 되어 있는데 08 08 로 전부 변경을 해보겠습니다. 전부 비번이 풀려 있습니다. 값을 확인해 보겠습니다. key2에 엄청 많은 데이터가 들어있는데 key3에는 좀 줄었습니다. 이는 base64를 의미하는 것 입니다. zip 을 풀어보면 다음과 같습니다. 맨 아래 문자열을 base64 decode를 하면 될것 같습니다. Authkey : ta5ty_H4z3lnut_coffee
-
[Forensic] Level 26 [200pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 13:58
빈도 암호 기법으로 되어 있습니다. 그래서 웹 복호화 사이트를 이용해 보겠습니다. https://quipqiup.com/ kim yuna is a south korean figure skater she is the olympic champion in ladies singles the world champion the four continents champion a three time grand prix final champion the world junior champion the junior grand prix final champion and a four time south korean national champion kim is the first south korean figure skater to..
-
[Forensic] Level 19 [154pt]$ Wargame $/$ Suninatas $ 2019. 8. 19. 13:54
2진법 숫자를 문자열로 변경해 보겠습니다. http://www.unit-conversion.info/texttools/convert-text-to-binary/ NVCTFDV KF JLEZERKRJ REU KFURP ZJ R XFFU URP REU RLKYBVP ZJ GCRZUTKWZJMVIPYRIU 해당 문자열을 카이사르 암호학으로 돌리면 다음과 같은 결과를 찾을 수 있습니다. WELCOME TO SUNINATAS AND TODAY IS A GOOD DAY AND AUTHKEY IS PLAIDCTFISVERYHARD Authkey : PLAIDCTFISVERYHARD