CTF
-
Securinets-2K20 PreQuals CTF write up$ Capture The Flag $ 2020. 3. 23. 13:02
해당 이미지 메모리 덤프 파일을 대상으로 imageinfo를 진행해 보겠습니다. Win7SP1x86을 이용해 보겠습니다. filescan 플러그인을 이용해서 파일을 확인해 보면 눈에 띄는 파일이 있습니다. 사용자는 바탕화면을 자주 사용하기 때문에 경로를 살펴 보면 \Device\HarddiskVolume2\Users\studio\Desktop 였습니다. 아래와 같이 검색해 보면 아래와 같이 수상한 파일 2개를 확인 할 수 있습니다. steghide 와 DS0394.jpg 파일이 있기 때문에 해당 이미지 파일을 추출해서 steghide를 이용해서 은닉된 데이터를 추출해야 할 것 같습니다. 사진을 확인해 보면 오른쪽 아래에 2019/08/29 라고 되어 있습니다. 이제 steghide 에 사용할 비밀 번호를..
-
HackTMCTF Write up$ Capture The Flag $ 2020. 2. 6. 00:04
Forensic Strange PCAP 파일을 열어보면 Protocol이 USB로 나와있습니다. USB Protocol 이란? 로컬 컴퓨터와 USB 사이의 통신 내용을 패킷으로 잡을때 사용되는 Protocol 입니다. Info에 다양한 통신 기록이 존재 합니다. 그중에서 데이터를 담을 만한 Info 는 usb.transfer_type이 0x01 인 "URB_INTERRUPT in" 입니다. filter 에서 usb.transfer_type == 0x01 을 입력하면 Info 가 URB_INTERRUPT in 인 패킷만 출력이 되게 됩니다. 그리고 URB_INTERRUPT in 에 데이터를 담기 위해서는 Capture Data 에 들어있습니다. 위와 같이 Leftover Capture Data 에 값이 들..
-
OtterCTF Memory Forensic write up$ Capture The Flag $ 2020. 1. 16. 21:29
다운로드 받은 메모리 파일의 user password를 구하는 문제 입니다. 먼저 해당 메모리 파일의 Profile을 알아 보겠습니다. Win7SP1x64 를 이용하면 될 것 같습니다. User의 Password를 알아 내기 위해서 SAM 파일과 SYSTEM 파일을 이용해서 NTLM Hash을 알아 보겠습니다. 518172d012f97d3a8fcc089615283940을 해시값으로 여러 NTLM 해시 크래킹 사이트를 이용했지만 성공하지 못했습니다. 이번에는 문자열로 Password를 시스템 LSA 암호에 저장할수도 있기 때문에 lsadump 플러그인을 이용해 보겠습니다. DefaultPassword에 MortyIsReallyAnOtter이 있습니다. Flag : CTF{MortyIsReallyAnOtte..
-
UTC-CTF write up$ Capture The Flag $ 2019. 12. 22. 17:33
MISC ezip (baby) zip file의 비밀번호를 cat.png 에서 찾아서 flag를 얻는 문제입니다. 먼저 exiftool 명령어로 Comment에 어떤 문자열이 있는지 확인해 보겠습니다. ZIP File의 비밀번호는 e4syp4ssf0rz1p입니다. 압축을 해제하고 flag.txt를 열면 아래와 같습니다. Flag : utc{ex1f_ru135_4ll_7h3_w4y} Optics 1 (baby) 문제 파일을 확인해 보면 헤더 시그니처가 깨져 있습니다. 시그니처를 89 50 4E 47 0D 0A 1A 0A로 변경을 하고 사진을 열어보겠습니다. QR Code 를 인식해보면 flag를 얻으실 수 있습니다. Flag : utc{dang_you_know_qr_decoding_and_shit} Opt..
-
X-MASCTF Write up$ Capture The Flag $ 2019. 12. 21. 22:51
Forensic Santa's Forensics 101 파일을 다운 받고 열어보면 사진파일이 하나 있습니다. 하지만 열리지는 않으니 HxD를 이용해서 확인을 해보면 아래와 같습니다. ZIP 파일입니다. 압축을 해제해 보면 아래와 같은 폴더가 나옵니다. 사진에는 뭐 없는것 같아 보입니다. HxD로 열어서 확인을 해보겠습니다. Footer Signature 뒤에 Flag가 존재 합니다. Flag : X-MAS{W3lc0m3_t0_th3_N0rth_Pol3} Santa's letter 해당 문제를 한번 확인해 보겠습니다. 여기서 얻을 수 있는 숨겨져 있는 힌트는 Invisible lnk 와 Hide&Seek 입니다. 첨부 되어 있는 사진은 아래와 같습니다. HxD로 확인해 보면 아무런 이상한 점이 없습니다. ..
-
Multimedia - PNG파일에 숨겨진...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 10. 20. 18:03
PNG파일은 2단계의 압축 프로세스를 거치게 되는데, 1단계 사전 압축과정에서는 필터 타입을 선택 하게 됩니다. 필터 타입의 종류는 아래와 같습니다. - None - Sub - Up - Average - Paeth 이러한 필터 타입을 이용해서 PNG 파일에 데이터 은닉이 가능합니다. 제가 경험한 압축과 관련된 스테가노 그래피 는 해당 이미지의 IDAT 값에 해당하는 data를 decompressed 해서 나온데이터를 가지고 width*3+1 번 마다 존재하는 맨 앞 0번 인덱스 데이터를 비트화 해서 은닉 시키는 방법을 접해 본적이 있습니다. 문제 PNG 파일인 hidden.png 파일을 HxD를 이용해서 헤더를 확인해 보겠습니다. 빨간 박스는 PNG Signature 를 의미 합니다. 파란 박스는 Chu..
-
Rooters CTF Forensic write up$ Capture The Flag $ 2019. 10. 18. 00:21
You Can't See Me 500점 시작에서 얼마나 쉬우면 40점으로 내려갔을까 라는 생각으로 문제를 확인 했다. 문제를 확인해 보면 pdf 파일을 하나 준다. 화면을 보면 전부 흰 페이지로 보인다. 글자색을 흰색으로 해뒀을 가능성을 고려해서 Flag format인 rooters{를 검색 해봤다. 역시나 이런식으로 은닉 시켜뒀다. 복사해 보면.. rooters{p9aoi{ctfjk 라는 문자열이 있는데 총 4개로 3개가 더남았다 전부 복사해 보겠습니다. {}rooters{7}RCTF1dni9ctfji212dSae culum in si admoneri se integram unitatis rerumque paulatim. Hester 이런 문자열이 더있네요 아직까지는 Flag 가 보이지 않습니다. ro..
-
[Pwn] Basic_FSBCTF write_up/Hack CTF 2019. 9. 20. 20:49
해당 문제는 앞서 풀어본 문제들과 달리 FSB 즉, Format String Bug의 약자로 버퍼 오버 플로우 해킹 기법중 하나라고 합니다. IDA에 넣어서 값을 확인해 보겠습니다. vuln함수가 있네요 들어가 보겠습니다. FSB에 취약한 부분은 printf를 포맷없이 사용한 위사진의 밑줄 부분입니다. 그리고 함수를 보면 flag 함수가 존재 합니다. flag 함수의 주소를 취약한 부분에 넣어야 하는것 같습니다. 각각의 함수에는 PLT영역과 GOT영역이 있습니다. 따로 포스팅 할 계획이지만 간단히 이론만 설명하고 넘어가겠습니다. PLT : Procedure Linkage Table의 약자로, 외부 프로시저를 연결해주는 테이블, PLT를 통해 다른 라이브러리에 있는 프로시저를 호출해서 사용할 수 있습니다...