디지털포렌식9 one_data_one_zip 문제 파일을 열어보면 확장자가 pcapng 인 파일 하나를 얻을 수 있다. 바로 pcap 파일로 변환시켜주자 그리고 wire shark로 열어주면 FTP 천국이다. FTP는 파일 전송 프로토콜인데 그럼 무슨 파일을 전송했는지 보면 flag를 얻을 수 있을 것 같다. Follow TCP Stream 해보니까 저기 flag zip파일이 하나 보였다. 통신으로 주고 받은 파일은 저 flag.zip파일 하나로 보인다. FTP로 전달한 내용을 받기 위해서 ftp-data로 검색해서 follow TCP stream 을 하면 이런 창이 뜨는데 Show and save data as 를 Raw로 선택해주어야 한다. 그리고 Save as를 해서 확장자 zip 파일을 해줬는데 위 사진에서도 볼 수 있듯이 zip 파일 시그.. 2020. 11. 24. [N0Named wargame] [B] 유출된 자료 거래 사건[2] 문제를 보면 해당 USB로 옮겼을 것으로 의심되는 파일을 찾아보자 하면서 파일을 입수한 경로를 찾아보면 찾기 편할 수도 라는 힌트를 주었다. 어느 곳에서 파일을 받은 뒤에 USB로 옮겼을 것으로 추측해보면 인터넷이나 메일로 파일을 받은 것을 생각해볼 수 있을 것 같다. FTK imager로 파일을 받을 만한 경로를 생각해보면 이렇게 chrome으로 다운로드 기록이 남을 수 있다. History 파일을 추출해서 DB Browser for SQLite로 열어보면 이렇게 다운로드 받은 기록이 뜨게 되는데 , 그 중에서도 Confidential_Doc 파일이 눈에 띈다. 이 파일을 한번 찾아보자 하지만 이미 삭제한 파일이기 때문에 FTK imager 안에서는 찾을 수 없었다. 그래서 파일 시스템 로그를 분석하기.. 2020. 11. 17. [SWING 내부 CTF] FS_BreakUp 이 문제도 앞에 풀었던 OurImportantMemories에 첨부된 파일을 사용하는 문제인데, 그 문제에 사용했던 파일을 사용하는 건 아니다. 사용하지 않았던 3번째 파일을 사용할 건데 FTK imager로 열어봤더니 오류가 난다. 뭐지 싶어서 HxD로 파일 내부를 살펴보았다. 그랬더니 원래 ntfs가 아니라 NTFS로 되어있어야 하는데 그 부분이 잘못 적혀있었다. 그래서 제대로 바꿔주고 FTK imager로 다시 열어보면 누가봐도 중요할 것 같은 important.zip파일이 있다. 이 파일을 추출해주고 열어보면 안에 텍스트 파일에 뭐가 적혀있다. 이거를 디코딩하면 될 것 같아서 넣어보니 Flag를 찾을 수 있었다. 성공! 출제 : N0Named 해킹팀 2020. 9. 20. [SWING 내부 CTF] Misunderstanding 동생이 이상한 사이트를 들어가는 것 같다고 한다. 그러니까 동생이 들어갔던 사이트를 살펴봐야겠다. 위 문제 풀었을 때처럼 FTK imager로 파일 열어주고 이번에는 history를 찾아보았다. 추출해주고 DB Browser for SQLite 프로그램을 다운받아 아까 추출했던 history 파일을 열어봤다. 여러가지를 볼 수 있는데 동생이 들어갔던 사이트를 봐야하니까 데이터 보기를 누르고 테이블을 urls로 변경후 쭉 살펴보는데 다 유투브 넷플릭스 노래 이런데 한 개만 설명이 없다. url을 복사해서 웹 브라우저로 열어보니 Flag를 얻을 수 있었다. 성공! 출제 : N0Named 해킹팀 2020. 9. 14. 이전 1 2 3 다음 728x90
