분류 전체보기218 [ctf-d] GrrCON 2015 #2 이번 문제에도 이메일이라는 키워드가 있다. 그래서 지난 문제에서 사용한 txt 파일을 사용해보기로 했다. exe파일이 꽤 나왔는데 하나하나 넣어보다가 하나가 성공했다 ! 2021. 5. 4. [ctf-d] GrrCON 2015 #1 메모리 문제이므로 volatility를 사용했다. 먼저 imageinfo로 운영체제 버전을 알아낸다.(Win7SP1x86) psscan은 메모리 덤프 당시의 프로세스 상태를 은닉 프로세스까지 모두 찾아 출력해줄 수 있다. 굉장히 많은 프로세스들이 나오는데, 그 중에서도 OUTLOOK.EXE가 눈에 띈다. 문제에서 전자메일 주소를 물어봤으므로 outlook이 의심스럽다. OUTLOOK.EXE의 PID가 3196인 것을 확인했으니 해당 부분을 덤프뜨자 그럼 이렇게 같은 디렉토리 내에 덤프파일이 생성된다. 이제 덤프파일을 txt 파일로 확인해보자. 그러면 txt 파일이 생성된다. txt파일의 내용이 굉장히 많아서 찾기 기능으로 이메일 주소를 찾아보았다. 처음엔 .com으로 찾아봤더니 내용이 너무 많아 outl.. 2021. 5. 4. [ctf-d] 조개를 찾아 열고, 진주를 찾으십시오. 일단 이미지 파일이 있어서 FTK imager로 열어보았다. 근데 딱히 크게 내용이 많진 않았는데 이 문제 제목이 조개를 찾아 열라고 했으니까 clam.ppt가 수상해보였다. 그래서 추출해주었다. 근데 열어보려고 하니까 문제가 있다고 알려주었다... HxD에 넣어보자 넣어보니 시그니처가 PK인 것을 확인할 수 있었다. 그래서 clam파일 확장자를 zip으로 바꿔서 열어보았다. 그래도 손상된 파일이라고 나오긴 하지만 zip 파일이 열리긴 열렸다. 이미지가 가득한 파일을 찾았는데 저 이미지0이 수상해보였다. qr코드 같긴한데 qr코드가 아닌 코드의 형태를 하고 있었다. 또 확장자가 gif 였는데 움직이는 이미지 파일은 아니었다. 그래서 혹시 몰라서 HxD로 시그니처를 확인해봤는데 헤더, 푸터 시그니처 모두 .. 2021. 5. 4. [HackCTF] Terrorist 첨부파일을 열어보면 mission.jpg가 있는데 파일 내부에 문제가 있는 것 같다. HxD로 열어보자 헤더 시그니처 부분이 jpg는 전혀 아니고, 처음 보는 것이어서 찾아보니 Apple audio and video files라고 한다. 확장자를 M4A로 바꿔서 한번 들어봐야겠다. 그랬더니 9초가량의 외국어 음성이 들린다. AUDACITY 프로그램으로 한번 가공해서 풀어보려고 했는데 열리지 않았다... 그래서 오디오 변환기를 통해 wav 형식으로 변환시켜주었다. online-audio-converter.com/ko/ 온라인 오디오 변환기 - 오디오 파일을 MP3, WAV, MP4, M4A, OGG 또는 iPhone 벨소리로 변환 이 앱이 Google 드라이브와 함께 작동하도록 승인하세요. OK onlin.. 2021. 4. 29. 이전 1 ··· 23 24 25 26 27 28 29 ··· 55 다음 728x90
