Forensics/Wargame53 [N0Named wargame] infect 문제를 보면 악성 프로그램을 찾아 파일명과 실행시각을 알아내라고 한다. 악성프로그램은 결국 실행되어야 하니까 확장자가 exe인 것을 유의깊게 봐야겠다. 첨부파일을 다운로드 받아보면 ad1파일과 텍스트 파일이 하나 들어있다. 우선 ad1파일을 FTK imager을 사용해 열어보자 일단 파일을 열어서 유저의 바탕화면에 들어가보니, 의미 없는 data2.encrypted 파일과 그 밑에 VboxTester.exe 파일이 보인다. data2.encrypted 파일의 시간을 바탕으로 윈도우 pf 파일을 찾아보면 flag를 찾을 수도 있을 것 같다는 생각이 들었다. data2.encrypted 파일의 시간은 20년 10월 28일 오후 2시 14분 9초인데, 그때 pf 파일은 두 개가 생성되었다. 하나는 CMD,EX.. 2020. 11. 17. [N0Named wargame] [A] 수상한 메일 문제는 위와 같다. 문제 파일을 열어보자 zip 파일에 파일들이 있다. 메일내용.txt 파일과 제출용.hwp가 보인다. 메일내용 텍스트 파일에는 제출용.hwp를 열어 정보 기입 후 파일을 회신해달라고 써있어서 한글 파일을 열어보았다. 스크립트 코드가 포함되어 있다는 알림 창이 뜨는데, 매크로 스크립트가 삽입된 한글 문서를 열 때 뜨는 알림 창이다. 취소를 누르고 스크립트를 살펴보자 한글 2018 기준으로 도구 - 스크립트 매크로 - 매크로 실행 - 코드 편집으로 스크립트를 살펴볼 수 있다. 이후 항목을 Document로 바꿔서 보면 파워 쉘을 이용한 악성 스크립트를 실행하게 되어 있는 것을 볼 수 있다. (오른쪽 캡쳐화면 try 부분) Base 64로 인코딩 해본 결과 flag를 찾기 위한 남은 과정이 .. 2020. 11. 17. [N0Named wargame] [C] Left Side B 문제에서 제목이 힌트라고 하는데, 일단 zip 파일을 열어보았다. 안에는 task.bmp 파일이 들어있다. 아무래도 이미지 파일이니까 스테가노그래피 문제 같고, 문제 제목이 힌트라고 해서 LSB 스테가노그래피 문제라고 추측했다. 우선 HxD로 열어보았다. 보면 밑 부분은 다 FF인데 저기 중간 부분이 FF랑 FE가 유난히 많이 섞여있는 것을 볼 수 있었다. LSB로 생각하면 FE는 0, FF는 1로 생각할 수 있다고 한다. 그래서 0과 1로 변환하고 다시 그것을 아스키코드로 변환하면 문자를 얻을 수 있다.\ 직접 하기는 싫어서 여러가지 툴을 시도해봤는데 zsteg는 지우고 깔고 막해도 이 오류가 계속 떠서 실패했고, StegSolve도 시도해봤지만 별다른 flag를 얻을 수 없었다. 형광펜 표시한 부분이.. 2020. 10. 29. [N0Named wargame] [A] 길에서 주어온 만두 인형을 주었는데 비밀번호가 필요하다고 한다. 우선 문제파일을 열어보자 열면 이런 png 파일이 첨부되어있다. 우선 HxD로 까보았다. 헤더도 멀쩡하고 별다른 이상은 없어보였다. 단지 파일 안에 데이터가 많이 있어보였다. 푸터도 제대로 있는데,, 끝 부분에 1234라는 비밀번호처럼 보이는 정보를 얻을 수 있었다. 또 이 문제는 툴을 사용하면 된다는 힌트를 받아서, 문제에서도 비밀번호가 필요하다고 했으니 비밀번호가 맞는 것 같고 어떻게 풀어야할지 찾아보다가 openstego가 숨긴 파일을 볼 때 비밀번호가 필요하다는 것을 알게 되어 사용했다. big.png 파일을 추출했더니 medium.png가 나왔다. 왠지 그 다음 small도 있을거 같아 똑같이 medium.png를 openstego에 추출해보았다. 그.. 2020. 10. 29. 이전 1 ··· 6 7 8 9 10 11 12 ··· 14 다음 728x90
