요즘 CTF 문제들을 보면 많은 문제들이 있다. 기존에는 출제가 되지않았던 문제 유형들도 많이 출제가 되는 것같다. https://ctftime.org CTFtime.org / All about CTF (Capture The Flag) ctftime.org 에서 다양한 ctf 대회 및 write up을 보면 docker와 k8s와 같은 문제들이 다양하게 출제되는 것을 확인할 수있다. 나는 forensic에 관심이 많아 포렌식 문제를 찾아서 풀어보고 하지만 docker와 같은 문제들은 풀어보지 못해서 한번 풀어보려고 확인도 해보고 했다. 매번 느끼는 것이지만 ctf문제를 출제하고 우리가 사용하는 docker와 같은 플랫폼? 등을 이용하여 해킹문제를 만들고하는 것들을 보면 엄청 머리가 좋고 대단한 분들이신 ..

해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 개요 Tenable CTF에서 출제된 네트워크 포렌식 문제를 Wireshark를 이용하여 풀어본 내용임. 내용 먼저 PCAP파일을 열어 확인 해보면 다음 내용과 같다. 프로토콜의 종류와 데이터의 양을 보기 위해 해당 내용을 확인해본다. Statistics -> Protocol Hierarchy를 클릭하게 되면 아래의 내용처럼 통신 프로토콜을 확인가능하다. ICMP(Internet Control Messag..

요즘 일이 많아서 CTF(Capture The Flag)에 참여하지 못한지 오래된 듯하다... 그래서 혼자 문제들 뭐있나 보다가 ...forensic(file carving)이라는 문제를 보고 오오오오오오!!!!!!!!!!!이거다!!! 라고 생각해서 풀어보았다.. 문제가 생각보다 쉽게 풀렸고 풀이도 여러가지 방법으로 풀어보았다. 점수는 150점이였는데!!! 문제는 There used to be a bunch of animals here, what did Dr. Xernon do to them? 이거였다.한번 풀어보자 첫번째 방법은 foremost를 이용하여 푸는 방법이다.animals.dd 이미지가 주어진다. file 명령어를 이용하여 file animals.dd를 해보면 DOS/MBR boot sect..

두두두둥 오랜만에 작성하는 Write UP !!! 호호호호호호우 먼저 문제 파일을 받아보면 !!! 이사진이다. 흠... 흐으므므므믐흐읗으흥흥흐읗읗ㅇ흐읗으ㅡㅇ 자 먼저 그냥 binwalk로 확인을 해보자!!! PNG가 2개가 있는 것이 확인되었다.그럼 각나왔다. 바로 010 editor로 간다. 이러한 값들이 나오는 것을 확인할 수 있다.png 헤더 시그니처는 89 50 4E 47 0D 0A 1A 0A 이며 IEND는 PNG의 마지막을 나타내는 것이다.그럼 찾아보자 PNG가 두개가 있는 것을 확인할 수 있다. 이렇게 말이다. 그럼 여기에 있는 PNG를 두개를 따로 저장을 하게 되면 이렇게 나오는 것을 확인할 수 있다.!!! 흐흐흐흐흐흐흫 다음엔 다른문제로 나타나겠습니다.!!!! 넝~~~!!!~~~담~~~~~

어쩌다 보니 찾게 된문제!!! 풀어보자 !! 근데 맞게 푸는지를 모르겠다 :( 문제는 Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server 이렇게 란다.시작하자 !! 크와아아앙 나와라 ! volatility!!!! 먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후 pslist명령어를 통해 프로세스 리스트를 확인 해보았다. 보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.바로 구글로 달려..

일단 파일있어 풀어본당... 이파일이다.스테가노그래피 문제 같다. 그래서 이번에 사용할 툴은 stegosolve 라는 것이다.구글에 stegosolve를 검색하면 다운받을 수있는 곳이 나온다. 실행을 하면 이러한 창이 나온다! stegosolve를 실행 시키려면 java가 꼭필요하다. 이제 file - open 해보자이렇게 열고 나서 화살표를 눌러보오자!! :) 계속누르다 보면 글자가 보인다.위 사진은 blue plane 5 지만 Gray Bit 까지 넘기면요로코롬 :) 짠!!

300 - Breaking NewsWe just received this transmission from our news correspondents. We need to find out what they are telling us.file 문제인데 문제의 파일을 받아보면 알집으로 파일을 하나 주고 그것을 풀면 이제 우리가 풀어야 하는 문제 파일들이 나온다. 먼저 헥스로 파일을 확인 해보면 별 특이한 것이 없는 것같다 하나 하나 보던 도중 마지막에 base64로 디코딩이 되어 있는 것 같은 문자열을 발견하고 하나하나 파일에서 그러한 글자만 모아보았다. 총 나온 파일은 5개 chapter 4, 9, 10, 15, 18 이렇게 나왔다. 이제 base 64 decoding 을 해보자 base 64 디코딩을 하니..

Memory Analysis100 pointsMemory Analysis Find the website that the fake svchost is accessing. You can get the flag if you access the website!!memoryanalysis.zip The challenge files are huge, please download it first. Hint1: http://www.volatilityfoundation.org/ Hint2: Check the hosts filepassword: fjliejflsjiejlsiejee33cnc 이것이 문제인데 ... 파일을 받으면 이미지 파일 하나를 받을 수 있다.힌트 1번을 보면 볼라틸리티를 이용하여 푸는 것같다. 먼저 이..

VoIP100 pointsVoIP Extract a voice. The flag format is SECCON{[A-Z0-9]}. 문제 데스네... 파일을 받으면 pcap파일을 받을 수 있다. 파일을 열어보면 와이어 샤크로 열리는데... RTP을 디코드 할 것이다.그럼 RTP란 뭘까?RTP란 실시간 멀티미디어 데이터의 전송을 지원하는 Real Time Protocol다. Analyze라는 메뉴에 들어가면 Decode As는 메뉴를 찾으 수있다. 메뉴를 클릭하면 위와 같은 창이 뜨는데 +라는 표시를 눌러 RTP를 등록 해주면 된다. 그 후 Telephony메뉴에서 RTP에서 Stream Analysis를 클릭하게 되면 이렇게 streaming 되는 것을 볼수있다. 저기서 플레이 streams를 클릭하면 소..

SECCON 2016 Vigenerek: ???????????? p: SECCON{???????????????????????????????????} c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe 문제이다. Vigenere 암호를 이용하여 풀어야 할거 같다. SECCON{ = VIGENER E p: SECCON{ }c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ |A B C D E F G H I J K L M N O P Q R S T U V W X Y Z { }--------------------------------..

파일을 다운 받게 되면 또잉 ch2.dmp라는 덤프파일을 얻을 수 있다.!!! 문제를 해석해보자! 정답은 워크스테이션 호스트네임(즉, 컴퓨터이름)이 정답이란다.! :) 룰루~ 그럼 해보자 필자는 strings 라는 명령어를 사용하여 풀어볼 것이다. strings ch2.dmp | grep COMPUTERNAME

문제를 다운받아 보면 이러한 사진을 받을 수 있다. 글씨가 찌그러져서 보기 힘들다... 어떻게 풀까 생각을 하면서 노가다로 하나하나 잘라서 풀어볼까 생각을 해봤지만 010editor 라는 프로그램을 이용하여 풀어보기로 했다. 이렇게 파일을 볼수가 있다. JPG.bt를 확인하여 WORD Y, WORD X의 값을 500, 500 으로 변경할것이다. 변경하여 저장을 하게 되면 이렇게 글자를 확인 할 수 있다.!!! 끄읏!!!