본문 바로가기

Forensics/Wargame53

[HackCTF] Magic PNG 첨부된 zip 파일을 열어보면 png 파일이 하나 들어있다. 근데 파일 형식이 지원되지 않는 것 같다면서 이미지가 보이지 않아 HxD로 열어보았다. 그랬더니 헤더 시그니처 부분이 달라서 제대로 바꿔주었더니 이미지가 보이긴 하는데 아직 불완전해보인다. TweakPNG 툴을 사용해 png 파일을 자세히 살펴보려고 한다. 근데 이렇게 IDAT 청크 관련해 문제가 있다고 알려주었다. 살펴보니 청크 하나가 대문자가 아닌 소문자로 idat라고 적혀있고, private chunk라고 한다. 단순히 idat를 대문자로 바꿔주면 된다고 생각했는데, 툴 내에서 수정이 되지 않아 다시 HxD로 들어가보았다. HxD에서 IDAT 청크를 순서대로 찾아보았다. 이렇게 대문자가 있는데 이렇게 바로 다음에 소문자 idat를 찾을 수.. 2021. 4. 28.
[ctf-d] A회사 보안 팀은 내부직원 ... 회사 내부직원이 인터넷을 통해 내부문서를 외부로 업로드 했다고 한다. 이 파일은 직원의 스마트폰인 것 같다. 우선 파일이 .001 확장자여서 FTK에 넣어보았다. 파일이 엄청 많았는데, apple이 보이는 걸로 봐서 아이폰인 것 같고, 핸드폰 안에 있는 어플리케이션들의 데이터라 양이 많은 것 같다. 그 중 눈에 띄는 건 Dropbox였다. Dropbox에 내부문서를 업로드 하지 않았을까 싶어 더 찾아보았다. Dropbox.app 폴더를 뒤지다가 뭐가 없어서 Library를 뒤져보니 안에 또 Dropbox 폴더가 있었다. 하지만 그 안에는 의미없는 사진들만 있었다. 근데 밑에서 확장자가 Dropbox인 파일을 발견했다. 열어보니 이런 png 파일이 있었다. 아마 빼돌린 내부문서 이름이 S-Companyse.. 2021. 4. 2.
[HackCTF] So easy? 간단한 문제처럼 보인다. 우선 zip 파일 안에 jpg 파일이 들어있다. HxD에 넣어보았다. 내려보다가 문자열에서 flag 형식을 발견해서 설마 이걸까? 하고 넣어보았다. 역시 오답,, 근데 바로 밑 부분에서 PK(zip 파일 시그니처)가 보였고, hidden.txt가 보였다. 그래서 그냥 간단하게 이 부분을 카빙해주었다. 역시 열어보니 hidden.txt가 있었고, flag를 얻을 수 있었다. 성공! 2021. 4. 1.
[suninatas] Forensic 30 먼저 이 문제를 풀 도구로 Volatility를 사용하기로 했다. 먼저 imageinfo로 확인해주자 Win7SP1x86임을 확인했다. 이제 먼저 1번 답인 김장군 PC의 IP 주소를 알아내기 위해 netscan으로 알아보자 열면 이렇게 많은 내용들이 나오는데 밑으로 내려보면 김장군 PC의 IP 주소는 192.168.197.138임을 알 수 있다. 이제 2번 답을 알아보자 해커가 열람한 기밀 문서의 파일 명을 알아봐야 하는데 해커가 실행한 프로세스를 확인하기 위해 pstree를 이용해서 알아보자 초반에 cmd가 켜지고 notepad가 열린 것을 확인할 수 있는데 음.. 일단 볼라틸리티에 cmdscan 이라고 cmd에 내린 명령을 확인할 수 있는 플러그인이 있으니까 한번 해보자 그러면 누가봐도 의심되는 파.. 2020. 12. 1.
728x90