(2021.01.29) 이용한 도구 FTK Imager event viewer N0Named Wargame - [B] 유출된 자료 거래 사건[3] 3주차 교육에서 공부했던 windows event log를 이용하면 될 듯하다. 관련 내용은 kali-km.tistory.com/entry/Windows-Event-Log-1 를 참고했다. event viewer 이용하면 되는 것 같음 event viewer 로 파일을 열기 위해서는 eventlog 파일이 필요하다 윈도우 이벤트 로그에는 총 4가지의 로그가 있다. 시스템 로그: system.evtx 설치 로그: setup.evtx 보안 로그: security.evtx 응용프로그램 로그: application.evtx 이 문제에서는 동거자의 계정에 대해 알아내야..

(2021.01.28) 이용한 도구 FTK Imager DB Broswer SQLite NTFS Log Tracker N0Named Wargame - [B] 유출된 자료 거래 사건[2] FTK Imager 로 열어준다. 문제를 다시 읽어보면서 힌트가 될만한 말들을 살펴보았다. (파일을 입수한 경로를 찾아보면 찾기 편할 수도?) 라는 말이 힌트가 될 만한 듯하다. (3주차 교육에서 공부했던 windows event log를 이용해야하나 싶어서 많은 폴더를 뒤져보면서 eventviewer 로 열 수 있도록 파일을 찾고 열어보았지만 소득이 없었음...) 파일을 입수한 경로를 생각해보니 인터넷사이트에서 입수했을 것으로 예상된다. Partition2 > NONAME > root > Users > nonamed >..

(2021.01.27) N0Named Wargame - [C] 우리의 추억들 파일을 다운 받아 준다. 압축을 풀으려고 하니 문제에 pw로 나와있던 fun_cool_and_sexy_forensic_> Local > Microsoft > Windows> Explorer 이다. 썸네일 캐시 파일들을 모두 export 해준다. 썸네일캐시 보기 라고 구글에 입력해주면 아래 링크가 뜬다 www.itsamples.com/thumbnail-database-viewer.html Thum..

(2021.01.27) SuNiNaTaS #5 크게 4개로 구분해보았다. 이 문제는 자바스크립트 난독화를 해제하는 문제이다. (혼자서 엔터치면서 이쁘게 구조를 만들고 있었는데... 그 말을 들은 친구가 나보고 븅shin이냐고 했음...ㅠ) www.strictly-software.com/unpack-javascript --> 난독화 해제사이트 난독화 해제하면 밑에 처럼 나온다... 난독화 해제된 코드를 복사해서 크롬 개발자도구에 붙여넣어준다. 그리고 개발자도구 콘솔로 가서 위의 난독화 해제된 코드 안에 있는 PASS 함수를 입력한다. Hint 주석에 있던 숫자를 입력값으로 넣으면 될 것 같다... 그러면 값이 나옴

(2021.01.21) N0Named Wargame - inject 악성코드에 감염된 PC.... 악성프로그램을 찾아 파일명과 실행시각을 알아내야한다.... hxd 프로그램으로 끄적이던 문제만 풀다가 이런 문제를 보니까 갑자기 숨이 턱 막힌다...후하후하 파일 다운받고 압축을 풀어주니... 흠..... 어떤 도구를 어떻게 써줘야하는지 매우매우 막막하다... 일단 infect_image 니까 FTK image 도구를 이용해보자 root 안에 굉장히... 많은 파일들이 있다. 여기에서 악성코드프로그램을 찾아야한다!!!! Users/사용자 이름/AppData/Local/Google/Chrome/User Data/Default/History 경로로 검색기록을 찾아줘보자... export 해주고 db browse..

(2021.01.20) SuNiNaTaS #2 처음에 이 화면 떴을 때 suninatas 사이트에 아이디랑 비번 입력하는 줄 알고 그거 입력했다... 알고보니 이게 문제였음... 할 수 있는게 없으니 일단 소스코드부터 봐준다. 무척 길군.... 요새 html, vue 공부를 해서 그런지 예전보다 술술 읽히는 기분이 든다. 오른쪽 부분이 약간 짤렸는데 이 부분은 화면에 표시된 요기 아래의 로그인 창에 대한 소스코드이다. 이 부분이 문제 해결의 단서가 될 것 같다.. if id==pw 일때, You can't join! Try again 을 알람창으로 띄우고 id 와 pw를 초기화한다. else 그렇지 않을 때, document.web02.submit() 한다고 해석할 수 있다. 또 뭘 확인해봐야할까 하는데..

(2021.01.13) hxd로 파일을 분석했지만 아무런 문제가 없다... 이미지 스테가노 툴 (Image stegano) Stegsolve 툴이 있어야 풀 수 있다고 한다... 아래 파일을 다운 받아준다... 툴을 알려주기 위한 문제인가? 싶었다... 이런 문제는 구글링을 안하고는 풀 수가 없는거 아닌가...? ※ 자바가 있어야 실행가능하다 화살표를 누르다보면 Red plane 0 이 나오는데 플래그를 확인할 수 있다 tjctf{0dd5_4nd_3v3n5} 더보기 이런 건 툴 모르는 사람은 못푸는거 아닌가?????!?!?!?!?!?!?!?!!?!?!?!?!?!?!?!?!?! 혼자 풀어보고싶은데 자꾸 막혀서 구글링하니까 짜증난다...

(2021.01.13) 뭔가 딱 보면 두장의 사진이 겹쳐있는거 같아 보인다... hxd를 이용해서 속성을 봤다. jpg의 파일 헤더부분과 jpg의 파일 푸터부분은 모두 맞는다. FF D9 찾기를 했는데 한개만 나왔다.. 두개의 사진이 겹친건 아닌 듯하다... key format이 ABCTF{(key)}라고 되어있다고 하니 왠지 ABCTF가 문자열에 있을 것 같기도 하다.. 혹시나 하는 마음으로 찾아봤는데 플래그 발견!! ABCTF{forensics_1_tooo_easy?} 를 입력해주면 끝~~~

(2021.01.07) http://ctf.no-named.kr:1234/ [PNG와 APNG 구조의 차이] https://ko.wikipedia.org/wiki/PNG https://ko.wikipedia.org/wiki/APNG PNG(Portable Network Graphics): 비손실 그래필 파일 포맷의 하나 APNG(Animated Portable Network Graphics): PNG를 확장한 이미지 파일 포맷 N0Named Wargame - [A] 입사테스트 [2] 우쒸.... 또 파일 형식이 지원되지 않는다고 나온다... 이 파일은 jpg 파일인듯...하다.... 문제 출제자께서 tweakpng 도구 사용을 추천하셨으니 tweakpng 도구를 이용해야겠다!! tweakpng 도구 다운..

(2021.01.06) http://ctf.no-named.kr:1234/ N0Named Wargame - MagicIMAGE mandu.png를 다운 받아준다. 근데 파일이 열리지 않는다... hxd 프로그램에 넣어보았다. 푸터 부분은 49 45 4E 44 AE 42 60 82 로 PNG의 푸터부분과 일치하는데 헤더 부분은 89 50 4E 47 0E 0B 로 PNG의 헤더부분(89 50 4E 47 0D 0A 1A 0A)과 일치하지 않는다. 헤더를 PNG 로 바꾸어주고, 저장시켰다. 그리고 파일을 열었더니 답이 나왔다!! 더보기 역시 난이도 하라서 그런지 수월하게 풀렸다....!

(2021.01.06) wargame.kr/ Wargame.kr - 2.1 https://www.facebook.com/wargame.kr wargame.kr Wargame.kr #1 - already got HTTP Response header가 보이니? 라는 문구와 함께 시작된다. 화면에는 이게 전부이다... 소스코드도... 아무것도 없다... HTTP Response header에 대해서 구글링해보니까 개발자도구의 네트워크를 통해서 확인할 수 있다는 정보를 발견할 수 있었다!! 개발자 도구의 네트워크에 들어가서 새로고침을 해준다. already_got/을 눌러주면 response header에 FLAG가 보인다!! cf2f7597b3501587eff4c9876a3570b1a822fedb FLAG 복..

(2021.01.05) webhacking.kr/ Webhacking.kr Index Welcome Stranger! Chatting Notice(en) [2020-08-12] Replace chat feature with Discord. Please do not cause inconvenience to other users. [2020-08-12] We are preparing to release new challenges within this year. Notice(kr) [2020-08-12] 채팅 기능을 webhacking.kr Webhacking.kr 1번 소스코드를 보면 이 부분이 뭔가 중요해보인다. if ($_COOKIE['user_lv']>=6) $_COOKIE['user_lv']=1; i..

(2021.01.05) 더보기 포렌식 교육 1주차 1번 과제 - SuNiNaTaS 21번 suninatas.com/ 써니나타스 웹해킹, 포렌식, 리버싱, 암호학, 해킹 워게임 제공. www.suninatas.com SuNiNaTaS #21 사진 하나가 있는 문제이다... What is a Solution Key? Is it a Puzzle? 이라는 문구와 함께 밑의 사진에는 Solution Key is H4○○N TH3 MIDD33 ATTACK 가 있는 듯 하다.. 소스코드를 살펴보니 monitor.jpg가 삽입되어있음을 알 수 있다.. 요그림을 바탕화면에 저장해주고, hxd 프로그램이 넣어보았다!! 보니까 FF D8 FF E1 이 jpeg의 헤더 부분이다. jpeg의 푸터 부분은 FF D9 인데 푸터부..

(2020.11.04) 더보기 FTZ 트레이닝 과정 1~10에서 배운 것들을 정리했다. 리눅스 공부의 기초적인 부분들이다. 자주 보면서 익숙해지자. FTZ trainer 1 : 리눅스 쌩기초 1 프롬포트는 항상 대기상태에서 우리가 명령을 내리기를 기다린다. ls는 리눅스의 가장 기초적인 명령어 ls : 파일,디렉토리 리스트 출력 ls -l : 파일, 디렉토리 리스트 상세하게 출력 ls -a : 숨겨진 파일,디렉토리 리스트 출력 ls -al: 숨겨진 파일, 디렉토리 리스트 상세하게 출력 가장 왼쪽 부분에서 -로 시작하면 파일, d로 시작하면 디렉토리 앞에 .이 붙으면 숨겨진 파일 FTZ trainer 2 : 리눅스 쌩기초 2 pwd : 현재경로 cd .. : 한단계 위로 경로 이동 cd 디렉토리명: 입력한..

(2020.11.04) 20년 인생 첫 해킹 배우기 해커스쿨 FTZ 트레이닝 과정을 진행하기 전에 설치하고 설정해야 할 것들이 많다... 1. VMware 설치하기 2. FTZ 서버 파일 다운받기 3. Putty 설치하기 4. FTZ 서버 열기 5. Putty 설정하기 6. redhat 파일 실행하고 Putty 실행하기 1. VMware 설치하기 가장 첫 번째로 해야할 일은 VMware 설치하기 이다! https://www.vmware.com/products/workstation-player/workstation-player-evaluation.html 위의 링크에 들어가서 설치해주면 된다. 2. FTZ 서버파일 다운받기 https://drive.google.com/uc?id=1krZs8e6QG_l_mx..