c0wb3ll's 5tudy B109

CTF-d Writeup ( GrrCON 2015 #3, 4 )

CTF-d Writeup ( GrrCON 2015 #3 ) 문제 내용 악성코드의 이름을 알아내라고 한다. GrrCON #1, #2 와 연결되는 내용인것 같으니 아마 피싱 공격은 AnyConnectInstaller.exe를 통해 이루어졌을것 이라고 예상할 수 있다. 풀이 volatility 툴을 이용하여 filescan을 이용하여 AnyConnectInstaller.exe 파일을 추출할 수 있도록 메모리 주소를 알아내도록 하겠다. 위와 같이 filescan을 사용하면 해당 메모리에서 추출가능한 파일을 찾아 메모리 주소와 함께 출력해준다. 여기서 함께 나오는 메모리 주소를 이용하여 파일을 추출할 수 있다. volatility 에서 지원하는 dumpfiles라는 명령어로 파일을 추출할 수 있다. 추출에 성공하..

CTF-d Writeup ( GrrCON 2015 #1,2 )

CTF-d Writeup ( GrrCON 2015 #1 ) 문제 내용 vmss 파일을 던져준 뒤 직원의 이메일 주소로 이메일을 보낸 전자 메일 주소를 알아내라고 한다. 우선 Volatility를 제대로 사용하기 위해 운영체제 정보를 알아내자. pstree를 이용하여 프로세스를 확인하였다. 메일 주소라 하였으니 Microsoft Office에서 지원하는 메일 프로세스인 OUTLOOK.EXE가 눈에 띄었다. 프로세스 덤프를 떠주자. 메일이라 하여 gmail.com을 문자열로 검색하였더니 바로 플래그로 보이는 값이 나와 인증하였더니 성공적으로 입력되었다. CTF-d Writeup ( GrrCON 2015 #2 ) 문제내용 공격자가 직원의 이메일로 첨부해 보낸 파일의 이름을 알아내라고 한다. 1에서 추출한 덤프..

CTF-d Writeup ( 사요나라-바이가 남긴 흥미 )

CTF-d Writeup (사요나라-바이가 남긴 흥미) 문제 파일로 mp3 파일을 주며 hint 로 오른쪽 채널이 이상하게 들린다 한다. 누가 봐도 오다시티를 이용해 푸는 문제같으니 열어주도록 하자. 문제 파일을 열고 재생해보았더니 왼쪽에 이상한 잡음이 들린다. 혹시 배속과 좌우반전을 통해 힌트를 숨겨놓은 것일 수 있지만 일단 들리는 것에 집중하기 위해 왼쪽을 음소거 시킨뒤 오른쪽 채널의 소리만 들어보도록 하자. ps. 영어 너무 싫어요; 드림앤두 드륌!;; 하다가 막혀서 010editor로 까봣다 수정한 시간과 원본 출처를 남겨줘서 저곳으로 들어갔더니 음;; osu 라는 게임을 플레이 하는거에다 뭔가 더빙을 했는데 뭔지 모르것다. 아무것도 못찾다가 다시 스펙트로그램을 보고 확대하다 줄이다 하다가 해보니..

CTF-d Writeup ( Three Thieves Threw Trumpets Through Trees )

CTF-d Writeup (Three Thieves Threw Trumpets Through Trees) 일단 문제를 다운받아보자 음...? 이미지를 다운받을 수가 없다.;;; 개발자 모드를 켜서 파일을 다운받아주자 지원되지 않는 파일 형식이라 하니 010editor 로 까보자 아니나 다를까 .wav 파일이었다. 확장자를 바꾸어주자. 1초만에 매우 빠르고 귀아프게 뭐라고 한다. 속도를 조금 조정해주면 password is ㅁㅁㅁㅁㅁㅁ (이거 맞나?)라고 하며 비밀번호가 ㅁㅁㅁㅁㅁㅁ 라고 하였으니 플래그 값으로 주어봤더니 인증이 되었다. ( ㅁㅁㅁㅁㅁㅁ 은 플래그인데 안알랴줄것이다. 각자 풀어봅시당^^)

CTF-d Writeup ( Find key ( Butter Fly ) )

CTF-d Writeup ( Find key ( Butter Fly ) ) 문제 파일을 받아봅시다. 매우 예쁜 나비가 있군요. 여기서 힌트를 얻기는 어려우니 010editor 로 가보겠습니다. 무언가 이상한 내용을 발견하진 못해서 lsb 스테가노 그래피가 아닌가 의심되어 stegsolve 를 꺼내기로 했습니다. 읭..? 아니나 다를까 플래그가 떡하니 나와버렸습니다.

CTF-d Writeup ( 조수의 차이만큼 하얗습니다 )

CTF-d Wirteup (조수의 차이만큼 하얗습니다) 문제 파일을 받읍시다. 와 사진이 하얀게 lsb 건들기 딱인거 같네요 010editor 로 까보기 전에 너무 의심이 되니 stegsolve 부터 열어봅시다. 와 게싱 만만세

CTF-d Writeup ( Find key (movie) )

CTF-d Wirteup ( Find key ( movie ) ) 문제 파일을 받어 봅시당. 동영상을 열면 매우 선정적(?)인 영상이 나오다가 이상한 사진이 끼워져 있습니다. 동영상은 사진이 빠르게 여러번 지나간다고 생각하면 되는데 이 때 이 빠르게 지나가는 사진을 프레임별로 나누어서 보여주는 도구중 forevid 라는 도구가 있으니 이 도구를 사용해 분석해 줍시다. 쭉 넘기다 보면 이상한 해쉬값 처럼 보이는 것이 있습니다. 무언가 인코딩이나 암호화 되어있지 않을까 라는 제 생각과는 다르게 그냥 플래그 값으로 집어넣었더니 인증이 되었습니다.