| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 |
- 개인정보보호위원회
- C++
- 정규표현식
- rootAVD
- 카카오톡
- github
- 코드트리
- 인터넷프로토콜
- rippersec
- 백업
- CTF
- SII
- 악성코드
- 백준
- 코딩자율학습html+css+js
- 코드트리조별과제
- 웹해킹
- 디스코드
- H4CKING GAME
- 지우개서비스
- git
- 포렌식
- SKT
- virustotal
- 코딩테스트
- Ai
- androidstudio
- 핵테온
- Today
- Total
목록Digital Forensic/CTF writeup (11)
혜지와 콩나무
[2025 핵테온 예선] 포렌식 Shadow of the System 문제
SYSTEM 파일이 주어졌습니다.SYSTEM 파일을 RegRipper를 이용해 분석했습니다. 서비스 관련 파일을 봐야하기 때문에 services 플러그인을 사용해서 결과를 출력해보았고, 양이 너무 많아서 txt 파일로 리다이렉션해 생성해주었습니다. 이렇게 생성된 txt 파일을 위에서부터 찬찬히 살펴보니, FLAG처럼 생긴 모양이 등장해 발견했습니다.
[2025 핵테온 예선] 포렌식 Watch 문제
처음 들어보는 RDP 데이터와 관한 파일이 주어졌습니다.우선 RDP가 뭔지 알아봐야겠다 싶어 무작정 검색했습니다. https://medium.com/@ronald.craft/blind-forensics-with-the-rdp-bitmap-cache-16e0c202f91c Blind Forensics with the RDP Bitmap CacheIntroductionmedium.com 이렇게 RDP 비트맵 캐시와 관련된 블로그를 찾아서 BMC 도구를 사용하기로 결정했습니다. 다운받고, 명령어를 통해 Cache000_parsed 폴더에 개별 타일을 만들었습니다. 해당 폴더를 열어보니 이렇게 이미지 타일들이 존재했습니다.이 사진들을 잘 조합해서, 그 안에서 flag를 발견할 수 있었습니다!
[Dreamhack 워게임] Enc-JPG
다운받은 파일 2개 다 파일이 제대로 열리지 않았기 때문에, HxD에 올려두고 살펴보았습니다. 파일 시그니처를 보니, Enc 라는 이름을 가진 파일이 4D 5A 의 시그니처로 시작하여, 확장자를 .exe로 바꾸고 실행해보았습니다. 그랬더니 갑자기 옆에 있던 flag.jpg의 이미지가 생겨났습니다. flag.jpg를 HxD에 올려놓고 보았습니다.jpg 파일인데 png의 푸터 시그니처로 끝나는게 이상해서 png 시그니처를 검색했습니다. 하나가 검색되었고, 이미지 파일로 만들었습니다. 파일 시그니처 앞에 Find the string “_ENc_ECrypt” 라는 문구가 힌트같았습니다. 뭐가 보이지는 않았는데, flag.jpg 파일과 차이점을 생각해보았을 때, 크기가 작아지고 가리는 부분이 사라지는 변화..
[2024 핵테온 예선] 포렌식 confidential 문제
pdf 파일이 다운로드 된다. HxD에 올려보고, pdf stream dumper에도 올려보았다. 하나하나 누르면서 내리다보면 이렇게 뜨는 페이지가 있다.base64로 위에 있는 암호문을 복호화하라는 의미이다.그래서 처음에 https://www.base64decode.org/ko/ 이 사이트에서 디코딩을 시도했다. 나는는 여기까지밖에 못풀었었다. 이후에 스터디하면서 디코딩된 데이터가 PK로 시작되니, 이것을 그대로 파일로 만들어보면 된다는 점을 알게되었다.https://gchq.github.io/CyberChef/ CyberChef gchq.github.io이 사이트를 이용했다. Output 옆의 저장 모양을 눌러서 파일을 다운 받았다. 다운로드된 파일을 열어서 살펴보면, flag가 등장한다.
[2024 핵테온 예선] 포렌식 MS Office 문제
파일을 다운받으면 아래와 같은 엑셀 파일이 다운된다.그러나 실행하려고 하면 '파일 형식이 잘못되었습니다.'라는 오류가 뜬다. HxD 에 올려놓고 파일 시그니처를 살펴보았다. xlsx 파일 시그니처와 같다. 그런데 DOCX와 PPTX도 xlsx와 같은 파일 시그니처를 가진다.또 HxD를 쭉쭉 내려보면 ppt 어쩌구저쩌구 이런 내용들이 등장한다. 그래서 파일 확장자명을 .xlsx 에서 .ppt 로 바꾸어주었다.이제 파일을 열 수 있으며, flag가 보인다. ---번외로, 스터디하면서 엑셀 상태에서 아이콘 이미지 확대하면 바로 알 수 있다는 사실도 알게 되었다.
[H4CKING GAME] 포렌식 Cat 문제 (120)
일단 처음에 엄청 헤맸다.멘토님이 알려주신 여러 사이트에 다 넣고 이것 저것 만져봤는데 아무런 힌트도 얻을 수 없었다.아래는 시도해본 스테가노그래피 사이트들이다.https://stegonline.georgeom.net/checklisthttps://stylesuxx.github.io/steganography/https://futureboy.us/stegano/결국 처음으로 돌아가 HxD에 올려두고 파일 구조를 살펴보기로 했다.jpg는 웹에서 표준으로 사용되는 그래픽 파일의 확장자로, JPEG 압축 방식을 이용하여 압축한 이미지 파일에 사용하는 파일 확장명이다. JPEG 파일 구조는 다음으로 구성된다. 참고(https://nightohl.tistory.com/entry/JPEG-%ED%97%A4%EB%8D..
[H4CKING GAME] 포렌식 LineFeed 문제 (100)
png 파일을 다운로드 받으면 위와 같은 이미지가 나온다.HxD 툴에 올려보았다. 문제에서 Something is broken 이라길래 png 파일 구조에서 무언가 어긋난 부분이 있는지 확인해보았다. PNG 파일의 기본 구조에 대한 설명이다.특별히 눈에 띄는 건 없었다. 대신 HxD에서 사이즈 부분을 조절해주었더니 다음과 같이 png 이미지가 변경되는 것을 확인할 수 있었다.
