์์ฆ CTF ๋ฌธ์ ๋ค์ ๋ณด๋ฉด ๋ง์ ๋ฌธ์ ๋ค์ด ์๋ค. ๊ธฐ์กด์๋ ์ถ์ ๊ฐ ๋์ง์์๋ ๋ฌธ์ ์ ํ๋ค๋ ๋ง์ด ์ถ์ ๊ฐ ๋๋ ๊ฒ๊ฐ๋ค. https://ctftime.org CTFtime.org / All about CTF (Capture The Flag) ctftime.org ์์ ๋ค์ํ ctf ๋ํ ๋ฐ write up์ ๋ณด๋ฉด docker์ k8s์ ๊ฐ์ ๋ฌธ์ ๋ค์ด ๋ค์ํ๊ฒ ์ถ์ ๋๋ ๊ฒ์ ํ์ธํ ์์๋ค. ๋๋ forensic์ ๊ด์ฌ์ด ๋ง์ ํฌ๋ ์ ๋ฌธ์ ๋ฅผ ์ฐพ์์ ํ์ด๋ณด๊ณ ํ์ง๋ง docker์ ๊ฐ์ ๋ฌธ์ ๋ค์ ํ์ด๋ณด์ง ๋ชปํด์ ํ๋ฒ ํ์ด๋ณด๋ ค๊ณ ํ์ธ๋ ํด๋ณด๊ณ ํ๋ค. ๋งค๋ฒ ๋๋ผ๋ ๊ฒ์ด์ง๋ง ctf๋ฌธ์ ๋ฅผ ์ถ์ ํ๊ณ ์ฐ๋ฆฌ๊ฐ ์ฌ์ฉํ๋ docker์ ๊ฐ์ ํ๋ซํผ? ๋ฑ์ ์ด์ฉํ์ฌ ํดํน๋ฌธ์ ๋ฅผ ๋ง๋ค๊ณ ํ๋ ๊ฒ๋ค์ ๋ณด๋ฉด ์์ฒญ ๋จธ๋ฆฌ๊ฐ ์ข๊ณ ๋๋จํ ๋ถ๋ค์ด์ ..

ํด๋น ๋ธ๋ก๊ทธ๋ ํดํน ๋ฐ ๋ณด์ ๋ธ๋ก๊ทธ๋ก ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก ์์ฑ๋์ด์ง๊ณ ์์ต๋๋ค. ์๋์ ๋ด์ฉ์ ๊ธฐ๋ฐ์ผ๋ก ํดํน ์๋ ๋ฐ ์ค์ ๊ณต๊ฒฉ์ ์๋ํ์ฌ ์ผ์ด๋๋ ๋ชจ๋ ์ฑ ์์ ๋ณธ์ธ(๋ฐ๋ผํ์)์๊ฒ ์์์ ์๋ ค๋๋ฆฌ๋ฉฐ, ๊ธ์ด์ด๋ ์๋ฌด๋ฐ ์ฑ ์์ ์ง์ง ์์ต๋๋ค. ๊ผญ ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก๋ง ์ฌ์ฉํ์ฌ ์ฃผ์๊ธธ ๋ฐ๋๋๋ค. ๊ฐ์ฌํฉ๋๋ค. ๊ฐ์ Tenable CTF์์ ์ถ์ ๋ ๋คํธ์ํฌ ํฌ๋ ์ ๋ฌธ์ ๋ฅผ Wireshark๋ฅผ ์ด์ฉํ์ฌ ํ์ด๋ณธ ๋ด์ฉ์. ๋ด์ฉ ๋จผ์ PCAPํ์ผ์ ์ด์ด ํ์ธ ํด๋ณด๋ฉด ๋ค์ ๋ด์ฉ๊ณผ ๊ฐ๋ค. ํ๋กํ ์ฝ์ ์ข ๋ฅ์ ๋ฐ์ดํฐ์ ์์ ๋ณด๊ธฐ ์ํด ํด๋น ๋ด์ฉ์ ํ์ธํด๋ณธ๋ค. Statistics -> Protocol Hierarchy๋ฅผ ํด๋ฆญํ๊ฒ ๋๋ฉด ์๋์ ๋ด์ฉ์ฒ๋ผ ํต์ ํ๋กํ ์ฝ์ ํ์ธ๊ฐ๋ฅํ๋ค. ICMP(Internet Control Messag..
์์ฆ ์ผ์ด ๋ง์์ CTF(Capture The Flag)์ ์ฐธ์ฌํ์ง ๋ชปํ์ง ์ค๋๋ ๋ฏํ๋ค... ๊ทธ๋์ ํผ์ ๋ฌธ์ ๋ค ๋ญ์๋ ๋ณด๋ค๊ฐ ...forensic(file carving)์ด๋ผ๋ ๋ฌธ์ ๋ฅผ ๋ณด๊ณ ์ค์ค์ค์ค์ค์ค!!!!!!!!!!!์ด๊ฑฐ๋ค!!! ๋ผ๊ณ ์๊ฐํด์ ํ์ด๋ณด์๋ค.. ๋ฌธ์ ๊ฐ ์๊ฐ๋ณด๋ค ์ฝ๊ฒ ํ๋ ธ๊ณ ํ์ด๋ ์ฌ๋ฌ๊ฐ์ง ๋ฐฉ๋ฒ์ผ๋ก ํ์ด๋ณด์๋ค. ์ ์๋ 150์ ์ด์๋๋ฐ!!! ๋ฌธ์ ๋ There used to be a bunch of animals here, what did Dr. Xernon do to them? ์ด๊ฑฐ์๋ค.ํ๋ฒ ํ์ด๋ณด์ ์ฒซ๋ฒ์งธ ๋ฐฉ๋ฒ์ foremost๋ฅผ ์ด์ฉํ์ฌ ํธ๋ ๋ฐฉ๋ฒ์ด๋ค.animals.dd ์ด๋ฏธ์ง๊ฐ ์ฃผ์ด์ง๋ค. file ๋ช ๋ น์ด๋ฅผ ์ด์ฉํ์ฌ file animals.dd๋ฅผ ํด๋ณด๋ฉด DOS/MBR boot sect..
๋๋๋๋ฅ ์ค๋๋ง์ ์์ฑํ๋ Write UP !!! ํธํธํธํธํธํธ์ฐ ๋จผ์ ๋ฌธ์ ํ์ผ์ ๋ฐ์๋ณด๋ฉด !!! ์ด์ฌ์ง์ด๋ค. ํ ... ํ์ผ๋ฏ๋ฏ๋ฏ๋ฏํ์์ผํฅํฅํ์์ใ ํ์์ผใ กใ ์ ๋จผ์ ๊ทธ๋ฅ binwalk๋ก ํ์ธ์ ํด๋ณด์!!! PNG๊ฐ 2๊ฐ๊ฐ ์๋ ๊ฒ์ด ํ์ธ๋์๋ค.๊ทธ๋ผ ๊ฐ๋์๋ค. ๋ฐ๋ก 010 editor๋ก ๊ฐ๋ค. ์ด๋ฌํ ๊ฐ๋ค์ด ๋์ค๋ ๊ฒ์ ํ์ธํ ์ ์๋ค.png ํค๋ ์๊ทธ๋์ฒ๋ 89 50 4E 47 0D 0A 1A 0A ์ด๋ฉฐ IEND๋ PNG์ ๋ง์ง๋ง์ ๋ํ๋ด๋ ๊ฒ์ด๋ค.๊ทธ๋ผ ์ฐพ์๋ณด์ PNG๊ฐ ๋๊ฐ๊ฐ ์๋ ๊ฒ์ ํ์ธํ ์ ์๋ค. ์ด๋ ๊ฒ ๋ง์ด๋ค. ๊ทธ๋ผ ์ฌ๊ธฐ์ ์๋ PNG๋ฅผ ๋๊ฐ๋ฅผ ๋ฐ๋ก ์ ์ฅ์ ํ๊ฒ ๋๋ฉด ์ด๋ ๊ฒ ๋์ค๋ ๊ฒ์ ํ์ธํ ์ ์๋ค.!!! ํํํํํํํซ ๋ค์์ ๋ค๋ฅธ๋ฌธ์ ๋ก ๋ํ๋๊ฒ ์ต๋๋ค.!!!! ๋~~~!!!~~~๋ด~~~~~
์ด์ฉ๋ค ๋ณด๋ ์ฐพ๊ฒ ๋๋ฌธ์ !!! ํ์ด๋ณด์ !! ๊ทผ๋ฐ ๋ง๊ฒ ํธ๋์ง๋ฅผ ๋ชจ๋ฅด๊ฒ ๋ค :( ๋ฌธ์ ๋ Auth : MalwarePid_C&C_Attacker.Serverex) 123_http://www.naver.com/index.php_1.2.3.4 Hint) No ParameterHint-2) Attacker.Server on the MemoryHint-3) Attacker.Server is pharming Server ์ด๋ ๊ฒ ๋๋ค.์์ํ์ !! ํฌ์์์์ ๋์๋ผ ! volatility!!!! ๋จผ์ imageinfo ๋ฅผ ํตํด profile๊ณผ ๋ฉ๋ชจ๋ฆฌ ๋คํํ์ผ ์์ฑ ์๊ฐ์ ํ์ธ ํ pslist๋ช ๋ น์ด๋ฅผ ํตํด ํ๋ก์ธ์ค ๋ฆฌ์คํธ๋ฅผ ํ์ธ ํด๋ณด์๋ค. ๋ณด๋ค๋ณด๋ attrib.exe๋ฅผ ๋ณด๊ณ ๋ฌด์จ ํ์ผ์ธ์ง ์๋ฌธ ์ด์๊ฒผ๋ค.๋ฐ๋ก ๊ตฌ๊ธ๋ก ๋ฌ๋ ค..
์ผ๋จ ํ์ผ์์ด ํ์ด๋ณธ๋น... ์ดํ์ผ์ด๋ค.์คํ ๊ฐ๋ ธ๊ทธ๋ํผ ๋ฌธ์ ๊ฐ๋ค. ๊ทธ๋์ ์ด๋ฒ์ ์ฌ์ฉํ ํด์ stegosolve ๋ผ๋ ๊ฒ์ด๋ค.๊ตฌ๊ธ์ stegosolve๋ฅผ ๊ฒ์ํ๋ฉด ๋ค์ด๋ฐ์ ์์๋ ๊ณณ์ด ๋์จ๋ค. ์คํ์ ํ๋ฉด ์ด๋ฌํ ์ฐฝ์ด ๋์จ๋ค! stegosolve๋ฅผ ์คํ ์ํค๋ ค๋ฉด java๊ฐ ๊ผญํ์ํ๋ค. ์ด์ file - open ํด๋ณด์์ด๋ ๊ฒ ์ด๊ณ ๋์ ํ์ดํ๋ฅผ ๋๋ฌ๋ณด์ค์!! :) ๊ณ์๋๋ฅด๋ค ๋ณด๋ฉด ๊ธ์๊ฐ ๋ณด์ธ๋ค.์ ์ฌ์ง์ blue plane 5 ์ง๋ง Gray Bit ๊น์ง ๋๊ธฐ๋ฉด์๋ก์ฝ๋กฌ :) ์ง !!
300 - Breaking NewsWe just received this transmission from our news correspondents. We need to find out what they are telling us.file ๋ฌธ์ ์ธ๋ฐ ๋ฌธ์ ์ ํ์ผ์ ๋ฐ์๋ณด๋ฉด ์์ง์ผ๋ก ํ์ผ์ ํ๋ ์ฃผ๊ณ ๊ทธ๊ฒ์ ํ๋ฉด ์ด์ ์ฐ๋ฆฌ๊ฐ ํ์ด์ผ ํ๋ ๋ฌธ์ ํ์ผ๋ค์ด ๋์จ๋ค. ๋จผ์ ํฅ์ค๋ก ํ์ผ์ ํ์ธ ํด๋ณด๋ฉด ๋ณ ํน์ดํ ๊ฒ์ด ์๋ ๊ฒ๊ฐ๋ค ํ๋ ํ๋ ๋ณด๋ ๋์ค ๋ง์ง๋ง์ base64๋ก ๋์ฝ๋ฉ์ด ๋์ด ์๋ ๊ฒ ๊ฐ์ ๋ฌธ์์ด์ ๋ฐ๊ฒฌํ๊ณ ํ๋ํ๋ ํ์ผ์์ ๊ทธ๋ฌํ ๊ธ์๋ง ๋ชจ์๋ณด์๋ค. ์ด ๋์จ ํ์ผ์ 5๊ฐ chapter 4, 9, 10, 15, 18 ์ด๋ ๊ฒ ๋์๋ค. ์ด์ base 64 decoding ์ ํด๋ณด์ base 64 ๋์ฝ๋ฉ์ ํ๋..
Memory Analysis100 pointsMemory Analysis Find the website that the fake svchost is accessing. You can get the flag if you access the website!!memoryanalysis.zip The challenge files are huge, please download it first. Hint1: http://www.volatilityfoundation.org/ Hint2: Check the hosts filepassword: fjliejflsjiejlsiejee33cnc ์ด๊ฒ์ด ๋ฌธ์ ์ธ๋ฐ ... ํ์ผ์ ๋ฐ์ผ๋ฉด ์ด๋ฏธ์ง ํ์ผ ํ๋๋ฅผ ๋ฐ์ ์ ์๋ค.ํํธ 1๋ฒ์ ๋ณด๋ฉด ๋ณผ๋ผํธ๋ฆฌํฐ๋ฅผ ์ด์ฉํ์ฌ ํธ๋ ๊ฒ๊ฐ๋ค. ๋จผ์ ์ด..
VoIP100 pointsVoIP Extract a voice. The flag format is SECCON{[A-Z0-9]}. ๋ฌธ์ ๋ฐ์ค๋ค... ํ์ผ์ ๋ฐ์ผ๋ฉด pcapํ์ผ์ ๋ฐ์ ์ ์๋ค. ํ์ผ์ ์ด์ด๋ณด๋ฉด ์์ด์ด ์คํฌ๋ก ์ด๋ฆฌ๋๋ฐ... RTP์ ๋์ฝ๋ ํ ๊ฒ์ด๋ค.๊ทธ๋ผ RTP๋ ๋ญ๊น?RTP๋ ์ค์๊ฐ ๋ฉํฐ๋ฏธ๋์ด ๋ฐ์ดํฐ์ ์ ์ก์ ์ง์ํ๋ Real Time Protocol๋ค. Analyze๋ผ๋ ๋ฉ๋ด์ ๋ค์ด๊ฐ๋ฉด Decode As๋ ๋ฉ๋ด๋ฅผ ์ฐพ์ผ ์์๋ค. ๋ฉ๋ด๋ฅผ ํด๋ฆญํ๋ฉด ์์ ๊ฐ์ ์ฐฝ์ด ๋จ๋๋ฐ +๋ผ๋ ํ์๋ฅผ ๋๋ฌ RTP๋ฅผ ๋ฑ๋ก ํด์ฃผ๋ฉด ๋๋ค. ๊ทธ ํ Telephony๋ฉ๋ด์์ RTP์์ Stream Analysis๋ฅผ ํด๋ฆญํ๊ฒ ๋๋ฉด ์ด๋ ๊ฒ streaming ๋๋ ๊ฒ์ ๋ณผ์์๋ค. ์ ๊ธฐ์ ํ๋ ์ด streams๋ฅผ ํด๋ฆญํ๋ฉด ์..
SECCON 2016 Vigenerek: ???????????? p: SECCON{???????????????????????????????????} c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ k=key, p=plain, c=cipher, md5(p)=f528a6ab914c1ecf856a1d93103948fe ๋ฌธ์ ์ด๋ค. Vigenere ์ํธ๋ฅผ ์ด์ฉํ์ฌ ํ์ด์ผ ํ ๊ฑฐ ๊ฐ๋ค. SECCON{ = VIGENER E p: SECCON{ }c: LMIG}RPEDOEEWKJIQIWKJWMNDTSR}TFVUFWYOCBAJBQ |A B C D E F G H I J K L M N O P Q R S T U V W X Y Z { }--------------------------------..
ํ์ผ์ ๋ค์ด ๋ฐ๊ฒ ๋๋ฉด ๋์ ch2.dmp๋ผ๋ ๋คํํ์ผ์ ์ป์ ์ ์๋ค.!!! ๋ฌธ์ ๋ฅผ ํด์ํด๋ณด์! ์ ๋ต์ ์ํฌ์คํ ์ด์ ํธ์คํธ๋ค์(์ฆ, ์ปดํจํฐ์ด๋ฆ)์ด ์ ๋ต์ด๋๋ค.! :) ๋ฃฐ๋ฃจ~ ๊ทธ๋ผ ํด๋ณด์ ํ์๋ strings ๋ผ๋ ๋ช ๋ น์ด๋ฅผ ์ฌ์ฉํ์ฌ ํ์ด๋ณผ ๊ฒ์ด๋ค. strings ch2.dmp | grep COMPUTERNAME
๋ฌธ์ ๋ฅผ ๋ค์ด๋ฐ์ ๋ณด๋ฉด ์ด๋ฌํ ์ฌ์ง์ ๋ฐ์ ์ ์๋ค. ๊ธ์จ๊ฐ ์ฐ๊ทธ๋ฌ์ ธ์ ๋ณด๊ธฐ ํ๋ค๋ค... ์ด๋ป๊ฒ ํ๊น ์๊ฐ์ ํ๋ฉด์ ๋ ธ๊ฐ๋ค๋ก ํ๋ํ๋ ์๋ผ์ ํ์ด๋ณผ๊น ์๊ฐ์ ํด๋ดค์ง๋ง 010editor ๋ผ๋ ํ๋ก๊ทธ๋จ์ ์ด์ฉํ์ฌ ํ์ด๋ณด๊ธฐ๋ก ํ๋ค. ์ด๋ ๊ฒ ํ์ผ์ ๋ณผ์๊ฐ ์๋ค. JPG.bt๋ฅผ ํ์ธํ์ฌ WORD Y, WORD X์ ๊ฐ์ 500, 500 ์ผ๋ก ๋ณ๊ฒฝํ ๊ฒ์ด๋ค. ๋ณ๊ฒฝํ์ฌ ์ ์ฅ์ ํ๊ฒ ๋๋ฉด ์ด๋ ๊ฒ ๊ธ์๋ฅผ ํ์ธ ํ ์ ์๋ค.!!! ๋์!!!