Forensic
-
SECCON 2019 CTF write up$ Capture The Flag $ 2019. 10. 23. 00:40
Sandstorm 62솔브나 났는데 결국 못푼 문제.. 한번 풀이를 해보겠습니다. 일단 문제 설명에 Mr. Smith 와 문제의 Adam 을 합치면 Adam Smith 라는 이름이 된다. 여러 스테가노 그래피 방법을 적용해서 문제를 풀고자 했지만 결과가 좋지 않았습니다 exiftool 명령어를 이용해서 데이터를 확인해 보면 아래와 같습니다. Interlace를 확인해 보면 Adam7 Interlace 라고 적혀 있습니다. Adam7 algorithm 이라는 알고리즘이 있는 것으로 확인이 됩니다. Adam7 Algotithm : PNG 이미지에서 사용하는 Interlacing 알고리즘으로 Interlace 된 이미지가 7개의 sub image로 나뉘게 된다 라고 설명합니다. 위의 사진 처럼 각각의 픽셀을 ..
-
Multimedia - PNG파일에 숨겨진...$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 10. 20. 18:03
PNG파일은 2단계의 압축 프로세스를 거치게 되는데, 1단계 사전 압축과정에서는 필터 타입을 선택 하게 됩니다. 필터 타입의 종류는 아래와 같습니다. - None - Sub - Up - Average - Paeth 이러한 필터 타입을 이용해서 PNG 파일에 데이터 은닉이 가능합니다. 제가 경험한 압축과 관련된 스테가노 그래피 는 해당 이미지의 IDAT 값에 해당하는 data를 decompressed 해서 나온데이터를 가지고 width*3+1 번 마다 존재하는 맨 앞 0번 인덱스 데이터를 비트화 해서 은닉 시키는 방법을 접해 본적이 있습니다. 문제 PNG 파일인 hidden.png 파일을 HxD를 이용해서 헤더를 확인해 보겠습니다. 빨간 박스는 PNG Signature 를 의미 합니다. 파란 박스는 Chu..
-
Rooters CTF Forensic write up$ Capture The Flag $ 2019. 10. 18. 00:21
You Can't See Me 500점 시작에서 얼마나 쉬우면 40점으로 내려갔을까 라는 생각으로 문제를 확인 했다. 문제를 확인해 보면 pdf 파일을 하나 준다. 화면을 보면 전부 흰 페이지로 보인다. 글자색을 흰색으로 해뒀을 가능성을 고려해서 Flag format인 rooters{를 검색 해봤다. 역시나 이런식으로 은닉 시켜뒀다. 복사해 보면.. rooters{p9aoi{ctfjk 라는 문자열이 있는데 총 4개로 3개가 더남았다 전부 복사해 보겠습니다. {}rooters{7}RCTF1dni9ctfji212dSae culum in si admoneri se integram unitatis rerumque paulatim. Hester 이런 문자열이 더있네요 아직까지는 Flag 가 보이지 않습니다. ro..
-
LAYER7 CTF write up$ Capture The Flag $ 2019. 10. 17. 17:34
Welcome to Layer7 CTF 디스코드를 연결하면 다음과 같은 Flag 확인 가능 Flag : LAYER7{10월 9일 한글날 기념 한글 플래그 세종대왕 만세} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ Catch Mind If You Can URL 에 들어가 보면 아래와 같이 사진을 하나 확인 할 수 있습니다. Decrypt me! 를 눌러보면 다음과 같이 encrypt.png 파일이 있습니다. 사진에 뭔가 그려져 있다는 생각이 들었고 원본 파일.png 와 encrypt.png 파일과 비교하면 Flag 를 찾을 수 있을 것 같습니다. encrypt.png - 원본 파일.png = flag.png 가 될 거라고 생각 됩니다. (REV 문제인데.. ..
-
picoCTF 2019 Forensic write up$ Capture The Flag $ 2019. 10. 15. 19:30
Glory of the Garden 문제를 HxD로 열어보면 아래와 같습니다. Footer 시그니처 인 FF D9 뒤에 flag가 있습니다. Flag : picoCTF{more_than_m33ts_the_3y35a97d3bB} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ unzip 압축 해제를 하면 Flag 를 볼수 있습니다. Flag : picoCTF{unz1pp1ng_1s_3a5y} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ So Meta 문제 이름을 보고 메타 데이터에 은닉을 했다고 생각해서 HxD로 확인! Flag : picoCTF{s0_m3ta_3d6ced35} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ..
-
Forensics Analysis of Recycle Bin$ 포렌식 $/$ 포렌식 기술적 이론 $ 2019. 10. 14. 08:32
팀 데피닛에 들어간 이후로 첫 팀 블로그에 글을 적게 되었습니다. 간단하게 휴지통 포렌식에 대해서 정리를 해보았습니다. https://defenit.kr/2019/10/14/Forensic/%E3%84%B4%20Research/Forensics_Analysis_of_Recycle_Bin/ Forensics_Analysis_of_Recycle_Bin 목차 휴지통 분석의 개요(Recycle Bin) 휴지통이란? 휴지통 분석(Recycle.Bin) Windows XP 휴지통 분석 C:\RECYCLER\\{USER SID} 폴더 찾기 Windows XP에서의 INFO2 file 과 저장되는 파일 이름 INFO2 FILE Structure Analysis Windows 10 휴지통 분석 C:\$Recycl def..
-
[SEC-T CTF][Forensic] DiagramCTF write_up/기타 CTF 2019. 9. 20. 21:03
diagram.tar.gz 파일을 열어보면 diagram이라는 파일이 하나 나오는데 해당 파일이 어떤파일인지 확인해 보겠습니다. RTF 파일이라고 합니다. MS DOCX 를 이용해서 열어보겠습니다. 위의 사진처럼 그래프 하나가 나옵니다. 각각의 수치와 flag의 형식을 살펴 보면 절묘하게 맞아 떨어집니다. SECT{ = 83,69,67,83,123 그래서 유사한 그래프를 만들어서 값들을 문자로 변환 했씁니다. Flag : SECT{4ndr0ids_sh0uld_b3_n1ce}
-
[SEC-T CTF][Forensic] MycatCTF write_up/기타 CTF 2019. 9. 20. 09:28
문제 파일을 열어보면 다음과 같습니다. Hex값을 확인해 보겠습니다. %PDF-1.4 라는 pdf header 시그니처가 눈에 보입니다. 확장자를 변경하고 내용을 확인해 보겠습니다. flag가 눈에 보이지 않는 것 같습니다. 해당 mycat.pdf 파일을 binwalk 로 한번 확인 및 추출 해보겠습니다. 추출해서 file 명령어를 통해서 각각의 파일을 확인해 보겠습니다. PDF 파일이 하나 보입니다. 한번 확인해 보겠습니다. 아래쪽에 글씨가 적혀 있습니다. Flag : SECT{3mb3dd3d_f1l3s_c0uld_b3_tr1cky}