비전공자의 포렌식일기

문제를 한번 보겠습니다. 주어진 압축파일을 풀면 다음과 같은 사진이 보입니다. 사진에서 이제 글을 숨겨 놓은줄 알고, 확대를 시켜 봤으나 아무것도 보이지 않았습니다. 고민을 하다가, 혹시나 가로 세로를 변형 시켰나? 싶어서 세로의 길이를 조금 키워줬습니다. 하니까 플래그 값을 찾을 수 있었습니다.

문제를 보겠습니다. 사진을 다운받아 실행시키면 다음과 같은 사진이 나옵니다. 역시 hxd에디터로 바이너리 파일을 봤습니다. key format이 TEXT인것을 기억합시다. 먼저, jpg의 시그니처를 봐야해서 FF D9로 푸터 시그니처를 확인했는데, 바로 답을 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 파일 img.jpg를 다운받아서 실행시키면 이런 사진이 하나 보입니다. 사진에서는 아무것도 찾아볼 수 없기 때문에, hxd에디터로 사진의 바이너리 데이터를 보니까, 문제에서 flag{(key)}가 아니라는것을 보고, 바로 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 color.png 파일을 실행하게 되면 다음과 같이 나옵니다. 붉은색 픽셀과 검은색 픽셀로 구성된 그림을 볼 수 있는데, 사진은 가로 7픽셀, 세로 200픽셀입니다. 사진이 2가지 색으로 이루어진 특성을 생각해보면 두 색을 바이너리 코드로 변환하면 되는 것을 생각해볼 수 있습니다. 그래서 빨간색을 1, 검은색을 0으로 변환하는 코드를 짜보겠습니다. 코드를 돌리면 다음과 같은 문자열이 나옵니다. 3xXKkFstTUpsG2IFDirE6xDrcAF8DSx4iWxd5f9IQ9T205izN8lS2MQUlsF11gT4TFXHHlLHVHprNTtrh6lURfdUW7Lpuzgu1VKzwb1bg1oq6Ae3GnykkLZZsnze3HVLxHlfCYtzyrcV2Oxp0Gb0Z2ELphR4Oxo7T..

문제를 보겠습니다. 문제를 열어보니, 요상한 사진이 나옵니다. 사진을 따로 저장하여, hxd에디터로 열어봤습니다. 확장자가 jpg였는데, jpg 시그니처가 아니라 .wav파일 시그니처로 되어 있는것을 보아 확장자가 임의적으로 변경 되어있다고 생각하고 .wav 확장자를 바꿔서 열어봤습니다. 그럼 음악파일을 들을 수 있는데 왠 로봇 소리가 자꾸나서 wav파일을 열 수 있는 audacity 프로그램을 사용하겠습니다. 열어서 실행을 하게되면 동일한 로봇 소리를 들을 수 있는데, 프로젝트 속도가 8000이 1초동안 재생이 되었으면, 더 길게 들어보면 어떨까 싶어서 4분의1인 2000으로 바꾸고, 실행을 시켰더니 아브라카타브라 라는 소리가 들렸습니다. FLAG : abracadabra

문제를 보겠습니다. 주어진 butterfly.png파일을 열어보면 나비 사진이 하나 나옵니다. 사진을 hxd로 보니 아무런 값이 없어서 문제를 다시 읽어 봤습니다. 읽어보니 Find Key butterfly라고 되어 있어, 나비에서 키 값을 찾을 수 있겠다 싶어가지고 사진을 확대시켜주는 사이트에서 찾아봤습니다. https://29a.ch/photo-forensics/#forensic-magnifier 이 사이트에서 butterfly.png를 오픈하고, 마우스 커서를 사진에 올리면 확대가 됩니다. 요 부분에 커서를 가져다 놓으면 플래그 값을 찾을 수 있습니다. 다음 문제를 보겠습니다. 달 사진이 하나 나오는데, 마찬 가지로 hxd에디터로 열어 보겠습니다. 열어서 푸터 시그니처인 49 45 4E 44 AE ..

문제를 보겠습니다. 제목에 오탈자 정정 pid오타 root.......있는것을 보니까 메모리 포렌식을 이용하여 푸는 문제인 것 같습니다. 위 문제에서 memdump 플러그인을 쓴것을 보아 PID가 4092인 프로세스를 덤프뜨는것으로 보입니다. 똑같이 명령어를 입력하면 mspaint.exe라는 그림판 프로세스가 4092.dmp로 추출되는것을 볼 수 있습니다. 이미지 파일을 보기 위해서는 gimp라는 프로그램을 사용하겠습니다. 단, gimp를 프로그램을 사용하기 위해서는 확장자를 data로 바꿔주어야 합니다. 설치 및 실행 명령어는 다음과 같습니다. sudo apt-get -y install gimp gimp 4092.data 오프셋, 높이, 너비를 조절해주면 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 flag 파일을 리눅스에서 file 명령어로 파일의 유형을 보게 되었는데, gzip으로 되어 있었습니다. 그래서 윈도우에서 flag 파일을 .zip 확장자를 추가 해준 결과 flag파일이 하나 더 나왔습니다. 압축을 해제하여 메모장으로 열었는데, 플래그값을 볼 수 있었습니다. FLAG : ABCTF{broken_zipper}

문제를 보겠습니다. 주어진 hidden.png파일을 다운받아서 실행시켜 봅시다. 귀여운 강아지 한마리가 있는데, 문제에서 보면 "사진 속에서 빨간색이 이상해 보이나요?" 이뜻은 뭔가 사진이 겹쳐져있다. 라고 판단을 하여 스테가노 그래피인것을 알았습니다. 이미지 파일을 색상과 비트별로 분석해주는 사이트에 가서 분석을 해봤습니다. 그러자 플래그 값을 찾을 수 있었습니다.

4월 1일부터 4월 3일까지 개최되는 Space Heroes CTF2022에 참가하였다. 뒤늦게 알게되어 4시간정도밖에 시간이 없었지만 열심히 하려고 했다. [Space Captain Garfield] 주어진 파일을 다운 받으니, 다음과 같은 사진이 나왔습니다. 글 대신 이모티콘이 있음을 알았고, 저 그림과 동일한 사진을 찾기 위해 구글에서 사이트를 1시간 가량 뒤졌습니다. 그래서 동일한 사진을 찾았습니다. 저기 사람이 한명 추가되었고 ?????{??????????????}로 되어있는것이 있어 저게 플래그 값이구나 싶어서 따라 입력했습니다. FLAG : SHCTF{LASAGNALOVER} [The Legend of the Chozo] 주어진 파일을 다운 받으니 .chr 확장자로 되어 있어서 메모장으로 열..