reversing
-
X-MASCTF Write up$ Capture The Flag $ 2019. 12. 21. 22:51
Forensic Santa's Forensics 101 파일을 다운 받고 열어보면 사진파일이 하나 있습니다. 하지만 열리지는 않으니 HxD를 이용해서 확인을 해보면 아래와 같습니다. ZIP 파일입니다. 압축을 해제해 보면 아래와 같은 폴더가 나옵니다. 사진에는 뭐 없는것 같아 보입니다. HxD로 열어서 확인을 해보겠습니다. Footer Signature 뒤에 Flag가 존재 합니다. Flag : X-MAS{W3lc0m3_t0_th3_N0rth_Pol3} Santa's letter 해당 문제를 한번 확인해 보겠습니다. 여기서 얻을 수 있는 숨겨져 있는 힌트는 Invisible lnk 와 Hide&Seek 입니다. 첨부 되어 있는 사진은 아래와 같습니다. HxD로 확인해 보면 아무런 이상한 점이 없습니다. ..
-
HCTF Write up$ Capture The Flag $ 2019. 11. 18. 13:09
Forensic Normal Forensic pcapng 파일을 좋은 가독성과 빠른 분석을 위해서 pcapng 파일을 pcap 파일로 변환을 해보겠습니다. (NetworkMiner 에는 pcapng 파일이 안들어가서) 그리고 networkminer 에 넣어보면 아래와 같이 Messages 목록에 3개가 있는것을 확인 할 수 있습니다. 해당 파일들은 전부 메일이며 데이터를 정리해 보면 아래와 같습니다. 그중 Frame 16529번을 보면 password 가 있지만 IT IS NOT FLAG 로 FLAG가 아니라고 이야기 하면서 다른 파일은 Secret Channel을 통해서 보냈다고 합니다. 그렇다면 Secret Channel을 통해서 보내진 파일은 .zip 또는 .7z 와 같은 압축관련 파일일것같고 거기..
-
Newbie CTF write up$ Capture The Flag $ 2019. 11. 7. 09:55
Misc Discord Flag : KorNewbie{W31C0m3_t0_0ffiC14l_D1$C05d} NC_MIC nc 연결하면 flag를 줍니다 Flag : KorNewbie{W3lC0m3_T0_K0RN3wB13_W4RG4M3!!!!!} Catch Me 문제를 열어보면 아래와 같습니다. 이런 배경에 검은 점들이 왔다갔다 합니다. gif 파일 인것으로 보아 여러개의 프레임이 겹쳐져서 만들어 졌을 것 이라 생각했고, 프레임 별로 추출해 주는 코드를 작성해 보았습니다. 아래와 같은 프레임 사진들이 나왔지만 중첩되서 나온것을 알 수 있습니다. 그래서 온라인 툴을 이용했습니다. https://ezgif.com/split/ezgif-3-4e6e77b33116.gif 첫번째 사진을 예시로 해서 flag 를 찾아..
-
Shadow CTF write up$ Capture The Flag $ 2019. 11. 5. 23:25
Example Hello Flag : SHADOW{He11o_W0rld!} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ Web SourceCode 사이트에 들어가 보면 아래와 같습니다. 소스코드를 백업 시켜두는 파일인 index.phps 를 들어가 보면 아래와 같은 코드를 확인 할 수 있습니다. eval(gzinflate(base64_decode())) 이므로 아래의 사이트 에서 실행을 해보겠습니다. http://www.tareeinternet.com/scripts/decrypt.php DQogJGZhbGcgPSAiU0hBRE9Xe1BIUF8zTkMwRDFOR30iOyA= 를 base64로 디코딩을 하면 아래와 같은 Flag 를 얻을 수있습니다. Flag :..
-
picoCTF 2019 Only Reverse Engineering write up$ Capture The Flag $ 2019. 10. 15. 19:17
vault-door-training 소스코드를 확인하고 분석을 간단히 하면 flag 를 찾을 수 있습니다. Flag : picoCTF{w4rm1ng_Up_w1tH_jAv4_3b500738c12} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ vault-door-1 이번 문제도 소스코드를 분석하면 바로 풀수 있는 문제입니다. Flag : picoCTF{d35cr4mbl3_tH3_cH4r4cT3r5_03b7a0} ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ vault-door-3 소스코드를 확인해 보겠습니다. checkPassword 메소드를 이용해서 flag를 제작하는것 같습니다. 로직을 이해하고 복호화를 해보겠습니..
-
[Reversing] Easy RevCTF write_up/Timisoara CTF 2019. 9. 19. 23:45
문제를 열어보면 다음과 같습니다. 해당 코드 해석해 보면 간단합니다. 입력하는 password가 0x40보다 짧아야 하고 7보다는 커야 합니다. 그리고 소문자라면 아래의 루프에 들어갑니다. 그리고 결국 입력값인 password 와 flag를 비교했을때 같으면 클리어입니다. flag는 다음과 같습니다. TIMCTF{ebgngrq13synt} 코드를 작성해 보겠습니다. Flag : TIMCTF{rotated13flag}
-
[Reversing] Level 11 [198pt]$ Wargame $/$ Suninatas $ 2019. 9. 17. 14:36
문제를 PEID로 열어보겠습니다. 딱히 특별한 것은 보이지 않습니다. 실행해 보면 다음과 같습니다. 값을 입력 해야하지만 입력을 해도 아무런 행위가 없습니다. 정확한 값을 입력해야 확인 가능한 문제 인것 같습니다. ollydbg를 이용해서 분석을 해보겠습니다. 프로그램에 사용된 string을 확인해서 성공 문자열로 보이는 Congratulation! 문자열을 찾아서 가보겠습니다. 해당 문자열을 더블클릭해서 확인해 보면 main 루프를 확인 할 수 있는데 004502A8에 BP를 걸고 F9로 이동하면서 1234 라는 값을 입력해 보겠습니다. 입력값인 1234와 2VB6H1XS0F 비교하는 구문이 CALL로 호출을 하는것 같습니다. 2VB6H1XS0F를 입력해 보겠습니다.