보안 보안

보호되어 있는 글입니다.

[LEVEL 3 - Enc - JPG - reversing, forensics]   문제 파일을 다운로드 받으면 Enc라는 파일 하나와 flag.jpg 파일 하나가 있다.    파일 이름은 flag.jpg인데 HxD로 열어보면 손상된 걸 알 수 있다.     파일을 HxD로 열어보면 MZ을 보아 실행파일인 걸로 추측할 수 있다.따라서 .exe로 확장자를 변환해준다.     이렇게 실행파일로 바뀌고, flag.jpg이 조금 보이게 되었다.     그럼 이렇게 다시 jpg 헤더 시그니처로 바뀐 걸 볼 수 있다.     jpg의 푸터 시그니처인 FF D9를 검색하면 두 개가 나오는데 첫 번째꺼를 지우고 저장한다.     그러면 위와 같이 첫 번째 플래그값을 얻을 수 있다.     두 번째로 있던 푸터 시그니처..

[LEVEL 3 - video_in_video - forensics]   문제 파일을 다운로드 받으면 video_in_video.jpg 파일이 들어있다.문제 이름을 통해 일단 비디오 안에 비디오가 있을 것으로 추정된다.    이 파일을 HxD로 열어보면 jpg 파일의 헤더 시그니처를 확인할 수 있고,     푸터 시그니처도 확인할 수 있다.그런데 푸터 뒤에 수상해 보이는 값들이 많이 있다.     푸터 뒤부터를 새로운 mp4파일로 만들어 저장한다.     그러면 위와 같이 어떤 동영상 하나를 볼 수 있는데 플래그가 나오진 않는다.여기서 mp4 파일 구조에 대한 공부를 먼저 하고 나서 문제를 다시 풀었다.    박스(box)란?파일의 기본 단위로 크기, 타입, 데이터를 가짐크기는 크기와 타입 필드를 포함한..

[LEVEL 2 - BMP Recovery - misc, forensics]   문제 설명에 BMP 파일의 중요한 값들을 지워버려서 flag.bmp를 올바르게 복구해야 한다고 되어있다.문제 파일을 다운로드 받으면 chal.py 파일과 flag.bmp.broken 파일이 들어있다.   일단 flag.bmp.broken 복제본을 생성해놓고 복제본으로 문제를 풀었다. 위 캡처 사진은 문제파일에 있던 chal.py 파일이다.     커서가 하나 전으로 되어있어서 파일의 맨 끝 오프셋은 DA58F6이다.     초기 파일의 모습이다. 18 00 부분 오프셋 빼고 나머지는 다 날아간듯하다.이 부분에서 알 수 있는 건 1픽셀당 24비트(3바이트)로 표현된다는 것이다.     bmp 파일의 헤더 시그니처(BM)인 42..

[LEVEL 2 - sleepingshark - forensics]   문제 설명은 Do shark sleep? 가 끝이다. 문제 파일 다운로드 받으면 dump.pcap 파일이 들어있다.wireshark로 열어주면 아래와 같이 나온다.   SELECT문 있는 요청 부분을 눌러보면 위와 같이 나오는데, 이 문자열을 복사해서 dreamhack cyberchef에서 Url decode를 시켜보면 flag값이 맞으면 3초동안 잠드는 것으로 예측할 수 있다. (즉, Time Based SQL Injection을 하는 페이로드임)     양이 너무 많아서 노가다로 푸는 것은 힘들 것 같았다. 그래서 일단 첫 번째로 3초 잠드는 구간을 찾아본다.위 캡처 사진에서 619번과 623번 패킷의 time을 보면 4.7초대에..

[LEVEL 1 - lolololologfile - forensics] 문제 파일을 다운로드 받고 압축 풀면 Image.E01 파일이 들어있다. 인프런에서 배웠던 거 참고했고 툴은 Autopsy 사용했다. autopsy를 실행시키고 new case 누른 다음 case name은 test1로 했다. 나머진 안 건들고 single-user 확인한 다음, 이후 뜨는 창은 건너뛰고 finish 누른다. add data source 누르고 가장 위에 있는 generate new host ~ ... 선택 후 disk image or vm file을 선택한다. path는 문제 파일 다운로드 했던 경로의 Image.E01로 지정해주고 time zone이 asia/seoul인지 확인한다. 그러면 configure ~ ...

[LEVEL 1 - Windows Search - forensics] 인프런에서 배웠던 디지털포렌식 Windows Search 관련한 문제 직접 출제하신 것 같아서 풀어보았다. 툴은 WinSearchDBAnalyzer.exe 사용했다. File - open 들어가서 첫번째 옵션 선택하고 문제 파일에서 다운로드 받은 Windows.edb를 넣고 확인하면 UTC설정 나오는데 우리나라 UTC+9니까 설정해주고 save 누른다. 뜨는 창은 디폴트값으로 해주고 좌측 Directory Tree에서 Categorize 열어서 .txt 눌러보니 아래와 같이 나온다. 문제에서 flag.txt 찾으라고 했는데 바로 나왔다. 저거 더블클릭하면 Detail View 창이 뜬다. 쭉 내리다보면 4625-...에서 답을 확인할 ..

[LEVEL 1 - Snowing! - forensics] 문제 파일을 다운로드 받으면 Snow.jpeg랑 flag.txt가 있는데 이미지는 문제 풀이에 사용하지 않았다. flag.txt를 열면 아래와 같이 공백이 많다(아래에 있는 플래그값은 말그대로 fake). 이 공백을 보고 아래 링크에 들어가 White space Steganograpy 툴을 다운로드했다. https://darkside.com.au/snow/index.html The SNOW Home Page The SNOW Home Page Whitespace steganography The program SNOW is used to conceal messages in ASCII text by appending whitespace to the e..