(2021.02.11) 이용한 도구들 010 editor 파일을 다운받아주고 압축을 풀었다 ..... 한석원 선생님 사진이 두장 있었다.. hxd 로 두개를 보니까 헤더부분과 푸터부분을 비롯해서 매우 비슷하다 내 눈으로는 차이점을 찾을 수 없었다 010 editor 로 차이점을 찾아주었다 H 를 시작으로 a , c , k 순으로 afterimage_2.jpeg 에서 플래그형식의 값들이 보인다 순서대로 쭉 써보면 HackCTF{wh3r3_@re_you_l00king?} 이 플래그이다!!
(2021.02.11) 이용한 도구들 HxD 파일 다운 후 압축 풀어주면 mission.jpg 파일이 하나가 있다 hxd 에디터로 mission.jpg 파일을 열어준다 파일의 헤더부분의 시그니처를 보니 .jpg 의 파일 시그니처가 아니다 나와있는 m4a 가 그 힌트인가보다 66 74 79 70 4D 34 41 20 가 m4a 의 파일 시그니처이다 jpg 파일이 아니라 m4a 파일이었던 것이다 확장자를 m4a 로 바꿔준다 재생해보니 뭔 알 수 없는 소리가 들린다 포렌식에서 음성파일 관련 문제는 역재생해보는 것이 필수가 아닐까 싶다 audiotrimmer.com/kr/online-audio-reverser/ 이 사이트에서 역재생 할 수 있다 (아예 툴도 다운받을 수 있음) 변환해서 다운받고 들어보니 뭐를 수..
(2021.02.11) 이용한 도구 wireshark advanced archive password recovery one_data_one_zip 파일압축을 해제해주고 파일을 열면 wireshark 응용프로그램으로 자동으로 열린다. 쭉 보던 중! flag.zip 발견! 빨간 동그라미 중에서 두번째 동그라미(STOR flag.zip) 를 더블클릭해서 살펴보니 PK 를 발견~~ (STOR flag.zip) 요기에 마우스 오른쪽 버튼 눌러서 follow > TCP stream 을 눌러준다 Show data as ASCII 라고 되어있는 부분을 RAW로 바꿔주고 Save as를 눌러 저장한다 yeah 라는 이름으로 저장해준다 확장자를 .zip 로 해준다 압축 풀기를 눌러줬더니 암호가 걸려있다고 나온다... 포렌..
(2021.02.10) 이용한 도구들 wireshark 파일 다운받고 압축을 풀어주면 두개의 파일이 나온다 borad.pcapng 파일을 눌러주니 wireshark 프로그램으로 열린다 txt 파일에서 주어진대로 불법 게시물들에 대해서 살펴보기 위해 로그인이나 게시물을 올린 흔적들을 찾아봤다 조금 살펴보니 HTTP 를 필터링해서 보는게 빠를 듯 싶어보인다 http를 필터링 시켜서 확인해주었다 들어가보니 요런 사이트였다 로그인하고 게시판에 들어가서 적고 로그아웃한듯한 흔적도 찾을 수 있었다 요런거 클릭해보면 POST 방식으로 쓰여있어서 다 볼 수가 있다 이런 식으로 게시물을 작성한 것을 볼 수가 있었다!!! POST 가 있는 걸 클릭해서 하나씩 확인을 해보니 의심스러운 id가 보였다 그리고 이상한 게시글도 ..
(2021.02.09) 이용한 도구 HxD 010 editor TweakPNG 역시나 이번에도 HxD를 이용해주자 파일의 헤더부분의 일부분을 고쳐줘야할 듯 싶다 PNG 의 파일 시그니처에 맞게 푸터부분을 수정해주고 저장해준다 그랬더니 요상한 사진이 나온다... 흠... 약간 돼지 사진인데 뭔가에 가려진 느낌이다.. 010 editor 를 이용해서 봐주자 chunk[5] 에 에러가 났다고 뜬다 보니까 다른건 다 대문자인데 저거만 소문자다 더보기 이부분들을 보니깐 예전에 PNG APNG 문제 풀었던게 생각이 난다 hey-stranger.tistory.com/23?category=973924 소문자를 대문자로 바꾸어준다! 그리고 저장해주면 답이 나온당
(2021.02.09) 이용한 도구 없음.. 일단 HackCTF{N0n3_9@$$w0rd} 로 입력했는데.... 문제가 풀렸다.... 당연히 아닐거라고 생각하고 누른건데... 뭐지? 왜지? 이게 뭔 문제지? 그냥 압축파일 다운받아서 압축풀고 메모장에 있는 플래그 입력하니까 문제가 풀렸다... 뭐지? 구글링 해보니까 zip 파일에 암호화표시 영역을 수정해야 flag.txt 가 열리는 문제였다.. 나는 왜 열린건지 의문...
(2021.02.09) 이용한 도구 HxD HxD 를 이용해 파일을 보니 플래그 형식과 PK 압축 형식, 그리고 수상스러운 hidden.txt 가 보인다 HackCTF{He_s0ggazzi_long} 요거를 넣었더니 틀렸다 틀릴 것 같았는데 플래그를 자세히 보니 헤 속았지롱 이라고 하는게... 화가나는군... 압축풀어서 그 안에 hidden.txt 를 찾으면 될 것 같다 파일을 확장자 .zip으로 바꿔 써준다 바꿔서 압축풀기 하려니까 확장자의 헤더부분이 손상되었다면서 repair.zip 을 다시 만들어줬다.
(2021.02.09) 이용한 도구 HxD 쭉쭉 내리면서 단서가 될만한걸 모아보았다 플래그 형식 같아 보여서 한번 플래그값에 넣어보았는데.. 성공...?? 해버렸다.. 아주 쉬운 문제였던걸로...
(2021.02.07) 이용한 도구 hxd NoNamed Wargame - RE: xeh_desrev 역시나 파일을 볼 수 없다고 나온다. hxd 로 열어보니 manduu23.png 의 파일의 헤더 부분이 헤더시그니처가 아님을 알 수 있다. 푸터부분도 푸터시그니처가 보이지 않는다. 근데 문제 제목을 보면 RE: xeh_desrev 인데 거꾸로 해보면 RE: versed_hex 이고 이는 reversed_hex 이다. hex를 거꾸로 하면 된다는 건가 싶어서 헤더부분과 푸터부분을 다시 보니까 답이 보인다. 아예 지금 거꾸로 들어가있는 것 같다.. 공부해둔 파이썬을 사용할 기회!! 16진수값을 복사해서 txt파일로 저장해준다. 그리고 파이썬으로 txt 파일을 불러서 문자열을 거꾸로 저장해서 출력해준다. 아뿔..
(2021.02.05) 이용한 도구 hxd stegsolve Timisoara CTF 2019 Quals [Tri-color QR] 파일의 푸터부분을 보니 푸터 시그니처 뒤에 뭔가가 추가되어있는 것을 볼 수 있다. PK 파일이 보인다. 꺼내준다. 열었더니 플래그의 일부를 확인할 수 있었다. ****************flag}**************** QR코드에서 유용하게 쓰이는 툴로는 stegsolve 가 있다. stegsolve 는 다운받고 나서 OpenJDK Platform binary 를 눌러줘야 실행할 수 있다. StegSolve 툴로 Red plane, Green plane, Blue plane 을 하나씩 꺼내준다. www.onlinebarcodereader.com/ 이 사이트에 넣어주면..
(2021.02.04) NoNamed Wargame - [C] Left Side B hxd 를 통해서 보면 FF가 반복되는데 첫부분에는 FE 와 FF 가 불규칙적으로 반복되는 것을 볼 수 있다. (암알못의 암호핥기 – 스테가노그래피 – Hackerz on the Ship (wordpress.com) 여기 사이트를 보면 FF 와 FE 를 통해서 숨겨진 데이터를 알아내는 방법이 소개되어있다.) FE 는 0, FF 는 1 로 변환하여 이진수로 표현해주고, 이를 ASCII 코드로 다시 변환해주면 숨겨진 데이터를 찾아낼 수 있을 것 같다!! FE FF FE FE FF FF FF FE FE FF FE FE FF FF FF FE FE FF FE FE FE FF FE FE FE FF FF FF FF FE FF FF F..
(2021.02.03) 이용한 도구들 hxd openstego NoNamed Wargame - [A] 길에서 주어온 만두 파일을 열어보니... 이런 사진이 나온다 문제에서 비밀번호가 있어야 열린다고 한 것 같은데.. 나는 왜 사진이 열리는 지는 모르겠지만... 사진이 보인다 사진 파일이 주어졌으니 hxd 로 파일을 열어봤다 헤더부분은 문제가 없었지만 푸터부분을 보니 푸터시그니쳐 다음에 무언가 있다!! PASS:1234 라고 되어있는 걸 보니 비밀번호가 1234 였나보다.. 근데 비밀번호를 대체 어디에 이용하라는 건지.. 알 수가 없었다... 포렌식 공부 중에 스테가노그래피 툴을 알아보는게 있었는데 openstego 를 이용할 때 비밀번호가 필요하다 openstego 를 이용해서 풀어줘야하는 문제인 것이다..
(2021.02.03) HackCTF - Guess me php 문제구만...!! extract($_GET); 는 무엇일까.. 구글링해보니 특정 내용을 반환하는 함수라고 한다 isset 은 무엇일까.. 구글링해보니 변수가 설정된 변수인지 확인하는 함수라고한다 설정되어있으면 true, 설정되어있지 않으면 false 를 반환한다 trim 은 무엇일까.. 구글링해보니 문자열 좌우에서 공백을 제거해주는 함수라고한다 file_get_contents 은 무엇일까.. 구글링해보니 전체파일을 문자열로 읽어들이는 함수라고한다 $filename 은 secret.txt 파일에서 문자열을 가져온다. 그것의 공백을 제거한 것이 $secretcode 에 저장되고, $guess 와 $secretcode 가 같으면 $flag 를 알..
(2021.02.03) HackCTF #2 - Hidden 5번 파일에 플래그가 있다고 하고 5번 버튼이 없다. 하나씩 클릭해보니 알람창이 뜬다. 공통적인 특징을 보니 주소창 맨 뒤에 /?id=1 /?id=2 /?id=3 /?id=4 로 나오는 걸 볼 수 있다. 5번파일을 보기 위해서는 /?id=5 를 입력하면 될 것 같다!! 무척 쉬운 문제였다!!
(2021.01.29) 이용한 도구 FTK Imager veracrypt N0Named Wargame - [B] 유출된 자료 거래 사건[4] 해당 내용이 담긴 문서를 하드 어딘가에 암호화해두어 숨겨둔 것 같다. 찾아내자! 이 부분을 보니 3주차 공부에서 veracrypt 으로 하드를 암호화했다고 추측할 수 있을듯하다. 유출된 자료 거래 사건 [2] 풀면서 헛다리 잡았을 때 veracrypt 설치한 파일이랑 쳐본 내역을 봤다. 그런데 여기까진.. 알겠는데 그 이후로는 전혀 갈피를 잡지 못했다... partition 3 이 비어있는데 용량을 차지하는 것이 바로 이 partiotion 3이 디스크 암호화가 되어있는 것이었다.. FTK Imager 로 partition 3 을 export 해주고 veracryp..