2019
-
Digital Forensic Challenge 2019 IR100$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 3. 28. 00:27
문제를 확인해 보면 다음과 같습니다. 문제를 기반으로 문제 풀이를 진행 하겠습니다. mft.zip 파일을 압축 해제 하면 $MFT 파일을 찾을 수 있습니다. $MFT 파일을 가시적으로 보기 쉽도록 .csv 파일로 변환 해주는 analyzeMFT.exe 툴이있습니다. MFT.csv로 변환했기 때문에 한번 $Recycle.bin 파일을 찾아 보겠습니다. 총 25개의 $Recycle.Bin 문자열이 포함된 Filename을 찾았습니다. 그중 가장 눈에 띄는 것이 $Recycle.Bin/7.exe 입니다. 기본적으로 $Recycle.Bin 폴더는 윈도우 운영체제에서 사용되는 휴지통을 의미 하는데, 사용자가 삭제를 했을 때 휴지통에 데이터가 들어가게 됩니다. 그렇게 되면 다음과 같은경로로 데이터가 들어가게 됩니다..
-
Digital Forensic Challenge 2019 MOI300 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 20:00
위의 사진에서는 풀이해야하는 항목들만 나와있지만 Desciption을 확인해 보면 제공된 증거는 무선 라우터의 SPI 플래시 메모리의 물리적 덤프 파일이라고 합니다. 풀이해야하는 내용은 다음과 같습니다. 1) 덤프 파일의 구조를 확인한다. ▪ 부트로더, 커널 및 파일 시스템. 2) 부트로더 기본주소를 찾으십시오. 3) 부팅 명령줄 인터페이스 입력 방법 식별 4) 부팅 명령줄 인터페이스 메뉴 설명 5) 웹 관리자 사용자 이름과 의심스러운 무선 라우터의 암호를 파악한다. 6) 무선 라우터에 등록된 WoL(Wake on LAN) 목록 1) 덤프 파일의 구조를 확인한다. 먼저 간단한 구조를 확인 하기 위해서 binwalk 를 이용하면 쉽게 확인이 가능합니다. bootloader 는 U-Boot이고 버전은 1.1..
-
Digital Forensic Challenge 2019 MOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 19:55
문제를 확인해 보면 위와 같이 160점, 20점, 20점으로 배점이 나누어져 있습니다. 또한 압축 파일을 확인해 보면 NAND_Dump.bin 이라는 파일이 존재 합니다. 이름이 NAND Dump 인것으로 보아 NAND Flash의 덤프 파일이지 않을까 생각을 해봅니다. Description을 확인해 보면 Set-top Box 의 덤프파일을 분석하는 것이 주된 목적이라고 합니다. Set-top Box 란? 대부분의 가정 집에 존재하는 제품으로, TV에 연결되어서 외부에서 들어오는 신호를 받아서 적절히 변환을 시키는 역할을 하는 장치로 전달 받은 신호를 TV로 출력해주는 장치를 이야기 합니다. Question은 아래와 같습니다. (1) 2개의 squashfs file system을 복구하기( Clear p..
-
picoCTF 2019 Forensic write up$ Capture The Flag $ 2019. 10. 15. 19:30
Glory of the Garden 문제를 HxD로 열어보면 아래와 같습니다. Footer 시그니처 인 FF D9 뒤에 flag가 있습니다. Flag : picoCTF{more_than_m33ts_the_3y35a97d3bB} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ unzip 압축 해제를 하면 Flag 를 볼수 있습니다. Flag : picoCTF{unz1pp1ng_1s_3a5y} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ So Meta 문제 이름을 보고 메타 데이터에 은닉을 했다고 생각해서 HxD로 확인! Flag : picoCTF{s0_m3ta_3d6ced35} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ..
-
picoCTF 2019 Only Binary Exploitation write up$ Capture The Flag $ 2019. 10. 15. 19:25
handy-shellcode 소스코드를 확인해 보면 아래와 같습니다. vuln 함수에 인자값으로 입력값 저장 배열 buf를 가져오는것으로 보아 이곳에 쉘코드를 넣으면 익스가 될것 같다. 하지만 picoctf 는 nc 를 주는것이 아닌 웹 shell을 이용해서 서버에 접근이 가능하다. 그래서 ssh(host='', user='', password='')를 이용해서 서버와 연결을 시키고 문제에 나와있는 디렉토리로 가기 위해서 set_working_directory를 이용해서 이동할 예정입니다. Flag : picoCTF{h4ndY_d4ndY_sh311c0d3_0b440487} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ practice-run-1 해당 파일은 그..
-
picoCTF 2019 Only Reverse Engineering write up$ Capture The Flag $ 2019. 10. 15. 19:17
vault-door-training 소스코드를 확인하고 분석을 간단히 하면 flag 를 찾을 수 있습니다. Flag : picoCTF{w4rm1ng_Up_w1tH_jAv4_3b500738c12} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ vault-door-1 이번 문제도 소스코드를 분석하면 바로 풀수 있는 문제입니다. Flag : picoCTF{d35cr4mbl3_tH3_cH4r4cT3r5_03b7a0} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ vault-door-3 소스코드를 확인해 보겠습니다. checkPassword 메소드를 이용해서 flag를 제작하는것 같습니다. 로직을 이해하고 복호화를 해보겠습니..
-
picoCTF 2019 Web Exploitation write up$ Capture The Flag $ 2019. 10. 15. 19:10
Insp3ct0r 사이트에 들어가 보면 아래와 같습니다. How 를 눌러보면 다음과 같습니다. HTML, CSS, JS 에 FLAG가 나눠져 있는 것 같습니다. 페이지 소스 보기를 하면 Flag 1/3을 찾을 수 있습니다. Flag1 : picoCTF{tru3_d3 mycss.css 파일에 들어가 보면 아래와 같습니다. Flag2 : t3ct1ve_0r_ju5t myjs.js 에 들어가면 마지막 flag를 찾을 수있습니다. Flag3 : _lucky?e85ef63c} Flag : picoCTF{tru3_d3t3ct1ve_0r_ju5t_lucky?e85ef63c} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ dont-use-client-side 사이트에 들어가..