분류 전체보기 (80) 썸네일형 리스트형 [XCZ.KR] Prob 22 문제를 보면 인증키 형식이 출발지_거쳐가는곳(1곳)_최종도착지이므로 위치 정보가 키라는 것을 알 수 있다. 아래 다운로드를 눌러 notebook 파일을 다운받았다. 확장자도 따로 없어서 먼저 HxD로 살펴보았다. 아래 사진을 보면 파일 시그니처 부분에 ADSEFMENTEDFILE이라고 적혀있는데 뭔지 몰라서 구글에 검색해 보았다. AD SEGMENT FILE (Access Data Segmented File): -Access Data 에서 지원하는 파일 포맷 -FTK Imager를 통해 Dump를 수행했을 때 확장자를 AD1으로 진행할 경우 만들어지는 파일 FTK Imager: - 포렌식의 가장 기본이 되는 도구로, 디스크 이미징 작업에 많이 활용한다. - 수집된 데이터 무결성 보장을 위해 비트 단위 또.. [CTF-d] Network_DefCoN#21 #7 허위(악의적인) 웹페이지의 URL을 찾는 문제이다. 와이어샤크로 먼저 round7.pcap 파일을 살펴보았다. File - Export Objects - HTTP 메뉴로 보면 쉽게 URL들을 확인할 수 있다. URL 들을 보면 은행 웹페이지인 것으로 추측되는 infocenter.bankofamerica.com 이 많이 보인다. 쭉 내려보면 infocenter.bankofamerica.com 과는 주소가 비슷하지만 이상한 bankofamerica.tt.omtrdc.net 이라는 주소를 발견할 수 있다. 3015번 패킷의 tcp stream을 확인해 보았다. mboxReferrer 부분을 보면 why is my bank of america account not working 이라고 구글에 검색해본 기록을 발.. Suninatas Forensics 21번 먼저 위의 그림파일을 저장한 후 HxD로 확인해 보았다. 아래 사진에서 볼수 있듯이 맨 앞에는 jpg 파일의 시그니처인 FF D8 FF E1이 존재한다. 그래서 파일 footer 시그니처도 검색해 보니 파일의 초반 부분에 jpg 파일의 footer 시그니처(FF D9)가 존재하고 그 뒤로도 데이터가 많은 것을 확인할 수 있었다. 그래서 해당 파일에 다른 파일들이 숨겨져 있다고 생각했고, 해당 파일을 파일 카빙 툴인 foremost로 복구해 보았다. 한 개의 jpg 파일이 총 8개의 파일로 복구된 것을 볼 수 있다. 위 사진들을 확인하면 flag를 얻을 수 있다. flag: H4CC3R_IN_TH3_MIDD33_4TT4CK [XCZ.KR] PROB.2 Download Here을 눌러보니 모스부호 같은 음성파일이 있었다. 다운받아보니 파일 이름도 morse.wav 였다. 해당 음성파일을 audiacity 프로그램에 넣어 파형을 살펴보았다. 위의 모스부호 표를 보고 파형을 알파벳으로 바꿔보았더니 authkeyismorsec0de라는 문자가 나왔다. 힌트에서 Upper Case라 했으니까 대문자로 바꾸면 정답이다. flag: MORSEC0DE [XCZ.KR] PROB.1 Why so serious? 라고 되어있는 png 파일을 다운받아서 헥스에디터로 살펴보았다. 타이틀에 End of Image라 되어있어서 png 파일 푸터 시그니처를 검색해 보았더니 아래와 같이 푸터 시그니처 뒤에도 뭐가 많이 있었다. 그래서 해당 png 파일을 foremost로 카빙해 보았다. 위와 같은 사진 파일이 추출되었다. flag: JOg-dragonKER [CTF-d] Network_DefCoN#21 #6 악성 페이로드의 용량을 구하는 문제이다. 페이로드(payload): 페이로드는 사용에 있어서 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다. 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다. 웜, 바이러스, 트로이목마 같은 해로운 소프트웨어를 분석할 때 페이로드는 그 소프트웨어가 주는 피해를 뜻한다. 예를 들어 페이로드에는 데이터 훼손, 스팸메일, 개인정보를 알아내기 위해 다수에게 보내는 이메일 등이 있다. 즉 페이로드는 전송 행위의 본래 의도를 뜻한다. 출처:위키피디아 round6.pcap을 먼저 wireshark로 살펴보았다. POP 프로토콜이란 것이 있어서 찾아보았다. 포스트 오피스 프로토.. [CTF-d] Network_DefCoN#21 #5 먼저 round5.zip 파일을 압축해제해 보니 Dump 폴더와 log.txt 파일이 있고, Dump 폴더 안에는 cache, data, wifi, rc 등 여러가지 파일이 있었다. dump: 기억장치의 내용을 전부 또는 일부를 인쇄하여 출력하는 것 dump 파일: 프로그램 디버그 또는 시스템 테스트의 목적을 위해 기록되는 파일 먼저 log.txt파일을 살펴보았다. dump_android.cpp compiled , dump_android_fs.cpp compiled 등의 문자가 있는 것으로 봐서 앞에 있던 dump 폴더는 배달 온 휴대폰의 덤프파일이라고 추측할 수 있었다. Dump 폴더안에 HWUserData에 해당 휴대폰 주인의 데이터가 있을것이라고 생각되어서 확인해 보았다. 아래와 같이 pcap 파일.. [CTF-d] Multimedia_Listen carefully!! thejoyofpainting.flac 을 들어보았더니 독일어(?) 같은 언어로 뭐라뭐라 하는 음성파일이었다. 소리를 들어서는 뭔지 모르겠어서 먼저 헥스 에디터로 살펴보았는데 딱히 다른 파일을 숨겨둔것 같지도 않아서 음성 편집 프로그램으로 확인해보았다. 툴 이름은 audacity로 네이버 소프트웨어에서 다운받을 수 있다. 먼저 thejoyofpainting 파일을 열면 위와 같이 파형이 뜬다. 파형을 스펙트로그램으로 바꾼다음 주파수를 8000Hz로 낮추니 키가 나타났다. Key: hxp{/!\-1'm-f0ur13r0uZ-/!\} 근데 왜 정답을 쳐도 incorrect가 뜨는지 모르겠다.. 다른분들 라업보면 잘 되던데....왜쥐... 어쨌든 음성에 저렇게 문자를 숨겨놨다는게 신기했다~ 이전 1 ··· 5 6 7 8 9 10 다음
