CTF write_up/2018 X-MAS CTF
-
[Misc/Forensics] Suspicious Hacking GameCTF write_up/2018 X-MAS CTF 2019. 6. 23. 21:03
↓suspicious.png ↑[해당 사진의 용량이 좀 커서 캡쳐한 파일 입니다.] 사진의 아랫부분을 보면 가로로 된 선이 엄청 있는데 이곳에 숨겨져 있을 것 같습니다. 하지만 PNG파일은 압축이 손실압축이기 때문에 PNG 이미지를 압축해제 하는 방법은 압축을 구현하지 않는 이미지 형식(BMP 형식)으로 변환하는 것 입니다. convert 명령어를 이용해서 형식을 변환 하였습니다. binwalk명령어를 이용해서 파일 안에 있는 내용을 추출하겠습니다 7-zip archive data가 보이네요 바로 한번 풀어보겠습니다. Game.apk가 사진 속에 들어있었네요. Game.apk 프로그램은 JAR이기 때문에 online decompiler를 이용해서 decompile을 해보겠습니다. Unzip을 이용해서 압..
-
[Reverse] Endless ChristmasCTF write_up/2018 X-MAS CTF 2019. 6. 23. 21:02
첨부 파일인 chall을 file 명령어로 확인해 보니 다음과 같았습니다. ELF 64-Bit LSB executable 라는 것을 알수 있었습니다. 파일을 실행수 있기 때문에 실행해 봤습니다. 프로그램 실행 후에 ls를 해봤는데.. File이라는 파일명이 앞에 붙은 파일이 여러 개 생겨 났습니다. 이 프로그램들이 전부 실행파일 이기 때문에 실행을 해봤습니다. 실행을 하니까 프로그램이 더 나오는 것을 알수 있습니다. 프로그램의 원리를 눈으로 확인하기 위해서 IDA를 이용해서 chall파일의 main함수를 Decompiling해서 보겠습니다. 소스를 좀 보면, 데이터를 하드코딩하고 해당 데이터를 계산을 하는데, [aE420sR40000000] 그 결과를 unk_6B7CE0로 임시 파일로 저장 하고 함수 m..
-
[Misc] Santa The WeaverCTF write_up/2018 X-MAS CTF 2019. 6. 23. 21:01
Santa LOVES two things! Weaving and … 는 산타는 2가지를 좋아합니다! 직조 그리고… 라는 뜻인데 무슨 뜻인지는 모르겠습니다. 일단 flag를 압축 풀어보니 flag라는 이름의 png사진이 들어있었습니다. 해당 사진을 HxD를 이용해서 한번 열어 보았습니다. PNG header 시그니처인 89 50 4E 47 0D 0A 1A 0A가 적혀 있습니다. 그렇다면 PNG footer 시그니처가 사진 맨 마지막에 있어야 하기 때문에 찾기 기능으로 49 45 4E 44 AE 42 60 82를 확인해 보겠습니다. footer 시그니처인 49 45 4E 44 AE 42 60 82 뒤에 X-MAS{}인 flag가 있네요 Flag : X-MAS{S4n7a_l1k3s_h1di()g_gif7$}
-
[Misc/Forensics] BoJack Horseman's Sad ChristmasCTF write_up/2018 X-MAS CTF 2019. 6. 23. 21:00
↓bojack.png 해당 파일의 Hex를 봐도 이상한 부분이 없고, 아무 것도 안되는거 같아서 구글 검색을 해보니 png & bmp 파일에서 숨겨진 데이터가 있는지 감지해주는 툴인 zsteg가 있다고 합니다. 일단 zsteg가 없기 때문에 설치를 해줍니다. 깃 허브에 있는 파일을 설치 후 원래는 여기까지 지만 (sudo apt-get install liblapack-doc (zsteg의 패키지)) 를 추가로 설치 해습니다. bojack.png파일에 숨겨져 있는 파일을 a.jpg로 추출하겠습니다. ↓a.jpg Flag : X-MAS{1_L0V3_B0J4ckH0rs3m4n}
-
[Forensics] Santa's Security LevelsCTF write_up/2018 X-MAS CTF 2019. 6. 23. 20:59
위의 message.mp3를 들어보면 크리스마스 캐롤에 모스부호처럼 들리는 음이 들립니다. 그래서 mp3를 분석해야 할 것 같아서, Forensics 분야 ctf 분석 툴중에서 그래도 사용되는 audacity를 이용해 보도록 하겠습니다. ↑스펙트로그램 설정 파일을 집어넣고 스펙트럼으로 변화를 한 뒤의 상황이 위의 사진입니다. 저기 툭툭 끊어져 있는 부분이 모스부호라고 생각 되 서 모스부호를 추출해 보았습니다. --· ·· - ···· ··- -··· -·-· --- -- --· --- --- --- --· ·- ·-·· -··- -- ·- ···입니다. 영어로 바꿔보면 다음과 같습니다. --> github com gooogal xmas 위의 문장을 url로 바꿔서 https://github.com/goo..
-
[Forensics] Message from SantaCTF write_up/2018 X-MAS CTF 2019. 6. 23. 20:52
해당 파일을 foremost 명령어를 통해서 classified_gift_distribution_schema.img파일에 들어있는 또다른 파일 들을 전부 추출합니다. ↓jpg 파일 1개 Png파일이 총 35개가 나왔는데 사진을 보니 쪼개져 있는거 같습니다. 딱히 다른 방법이 떠오르지 않아서 위에 있는 퍼즐을 직접 맞춰 보기로 했습니다. Flag : X-MAS{1t_l00k5_l1k3_s4nta_m4de_4_m1stak3_sorry}
-
[Forensics] Hidden in almost plain sightCTF write_up/2018 X-MAS CTF 2019. 6. 23. 20:49
해당 첨부파일을 리눅스에서 확인해 보겠습니다. 평범한 data이기 때문에 hex를 한번 확인해 봤습니다. 매번 윈도우에서 HxD를 이용해서 봤었는데 수정까지는 힘들지만 Hex보는 정도는 리눅스 명령어가 있더라고요 다보기엔 너무 많아서 head부분만 봤습니다. 딱 봐도… 이상한 부분이 있습니다. 89 00 00 47 0D 0A 1A 00 00 00 0D 49 48 44 52 IHDR이 있다면 당연히 PNG 파일인데 .. PNG에서 G밖에 없네요 수정해 보도록 하겠습니다. 저장 후 파일을 .png파일로 바꾸 겠습니다. ↓Celebration.png ↑[해당 사진의 용량이 좀 커서 캡쳐한 파일 입니다.] 해당 파일 가운데 부분에 숨겨져 있는거 같아서 확인해 봤지만.. 아무것도 없었습니다. 그래서 사진의 높이를..