Inc0gnito CTF
-
[Inc0gnito CTF][Forensic] Packet_ForensicsCTF write_up/기타 CTF 2019. 8. 26. 23:37
해당 바이너리 파일을 열어보겠습니다. pcapng 파일인 것으로 보아 완벽한 분석을 하기에는 좀 힘들것 같습니다. NetworkMiner tool을 사용할 것이므로 pcapng -> pcap 확장자로 변경해 보겠습니다. Wireshark 설치 폴더 하위에 editcap 실행파일을 이용해서 pcapng 확장자를 pcap 확장자로 변환 했습니다. pcap파일을 앞서 말한것 처럼 NetworkMiner에 넣어 보겠습니다. 479개의 파일과 207개의 Image가 있습니다. Image에 flag가 있을 것이라 추측하고 확인해 보았으나 flag가 없었습니다. 그렇다면 파일로 전송 했을 것이라생각되었습니다. png 파일은 볼 필요가 없고, cer 확장자는 관련이 없기 때문에 제외하고 확인 하던중 매우 flag스러운..
-
[Inc0gnito CTF][Forensic] wh3re_is_my_f149CTF write_up/기타 CTF 2019. 8. 26. 23:33
해당문제는 문제보고 1분만에 푼 매우 간단하지만 zip파일 구조를 모르고 있다면 오래 걸리는 문제 입니다. 바이너리 파일을 압축 해제 하면 readme.txt와 flag.zip 파일이 있습니다. readme.txt 을 읽어보면 다음과 같습니다. zip파일에 있는 flag는 거짓 flag이다. 진짜 flag를 찾아라. 라고 적혀 있습니다. zip 파일안에 있는 flag.txt 를 보면 진짜 가짜 flag가 들어있습니다. flag.zip 파일의 hex 값을 확인하면 다음과 같습니다. 대부분의 zip 파일은 50 4B 03 04 ~~~ 50 4B 01 02 ~~~~ 50 4B 05 06~~~~ 의 형태로 존재합니다. 50 4B 03 04 는 ZIP파일 당 1개로 고정 하고 50 4B 01 02 와 50 4B ..
-
[Inc0gnito CTF][Cryptography] 3AsYCrACk_M3CTF write_up/기타 CTF 2019. 8. 26. 23:33
문제의 파일을 확인해 보면 ELF 파일입니다. 문제를 보면 암호문의 원문을 구하라는거 보면 입력한 값이 해당 프로그램에서 나오면 Cdm+V2^U`7 가 나와야 합니다. 해당 프로그램을 IDA로 열어보겠습니다. 위의 코드가 main 코드인데 encrypt함수가 있는데.. 리턴 값을 받는 변수가 존재 하지 않는 것으로 보아 v4인 결과값에 영향을 끼치지 않습니다. 그렇기 때문에 encrypt 함수를 분석하지 않아도 된다는 것입니다. 위의 코드에서 for문 로직이 v4에 영향을 주기 때문에 브루트포스로 코드를 작성해보겠습니다. 해당 결과를 확인해 보면 다음과 같습니다. Flag : CR^CK=LOVE