비전공자의 포렌식일기

문제를 한번 보겠습니다. 주어진 파일을 다운 받아보겠습니다. 다운을 받으니 zip파일이 하나 있어, FTK Imager로 열어봤습니다. 열어보면 out.txt와 parse파일이 하나 있는데, out.txt에는 딱히 볼게 없었고, parse에서 Key Format을 입력해봤습니다. 그러자 이런 값을 얻을 수 있었습니다. 리눅스에서 다음과 같이 명령어를 입력해도 됩니다. strings parse | grep "h4ck" FLAG : h4ck1t{T0mmy_.....}입니다.

문제를 한번 보겠습니다. zip파일을 하나 주며, 파일을 다운 받아서 FTK로 열어보겠습니다. 열어보니 비어있는 폴더들이 엄청 많은데, 이것으로 보아 리눅스 시스템이다 라는것을 알 수 있으며, 우리는 "바보 같은 사용자를 찾아" 라고 문제에 써져있기 때문에 SHADOW, PASSWD 파일을 찾아야 하며 home디렉터리에 존재하는 사용자들을 찾아봐야 합니다. 먼저 SHADOW 파일부터 보겠습니다. 경로는 다음과 같습니다. /etc/shadow root : $6$PBY4XOYn$ : 16816 : 0 : 99999 : 7 : : : ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ① 사용자 계정 ② 암호화된 패스워드( *는 막혀있는 계정이다.) ③ 패스워드 최종 수정일 ④ 패스워드 변경 전 최소사용시간 (0으로 지정하면 언..

문제를 한번 보겠습니다. 덤프 파일을 줄테니 플래그 값을 구해라고 하여서 일단 7zip으로 압축을 풀어보았다. 풀면 DMP파일이 존재하는데, 칼리로 가져가서 파일의 유형을 한 번 알아보겠습니다. file [파일명] Mini DuMP라는 파일인데, 대소문자가 섞여있는것을 보니 정상적인 덤프파일이 아닐거라는 추측에 strings로 변환을 하여 어떤 문자열로 구성되어 있는지 확인하겠습니다. strings RunMe.DMP > RunMe.txt 다음과 같이 변환 명령어를 하시고, 바로 grep명령어를 통해서 특정한 문자열만 출력을 하겠습니다. cat RunMe.txt | grep "SharifCTF" 찾을 문자열을 지정을 한 이유는 파일의 데이터가 많아 보고 싶은것만 보고 싶어서입니다. 명령어를 입력해주니 플래..

문제를 보겠습니다. 문제를 보면 내부직원이 인터넷을 통해서 내부문서를 외부로 업로드를 하였다는 것으로 보아. P2P같은 사이트에 업로드를 했다는 것을 알 수 있습니다. 주어진 파일을 가지고 문제를 풀어 보도록 하겠습니다. 파일을 다음과 같이 FTK Imager로 열게 되면 다음과 같이 root경로에 다양한 폴더들이 존재하는 것으로 보인다. 각 폴더들은 하나의 app을 가지고 있었고, 이것으로 보아 그 app을 설치할 때 받았던 고유번호인것으로 추정이 됩니다. 각 app들은 다음과 같습니다. Weather.app, CGV2.app, CNN-iPhone.app, Podcasts.app, Dropbox.app, WebViewService.app, HousekeepingLog.app, MyPainting.app..

문제를 읽어 보도록 하겠습니다. 1. 가장 많이 접근한 사이트의 URL 2. 가장 많이 접근했던 사이트의 접근 시간 주어진 파일을 FTK Imager로 마운팅 해보겠습니다. 마운팅을 하면 Users가 하나 나옵니다. 근데 URL을 구해라고 했으니까 인터넷 웹 브라우저 히스토리일것을 추측하고 어떤 웹 브라어저를 사용했는지 한번 찾아봐야 합니다. 아무리 찾아도 크롬, 엣지, 웨일, 파이어폭스 등등의 웹 브라우저는 보이지 않지만...윈도우 익스플로러만 보입니다. 막간을 이용해서 Windows internet Explorer History가 남는 경로를 보겠습니다. 이렇게 표로 분류가 될 수 있는데요, 다시 문제를 살펴보겠습니다. Users폴더안에 username으로 불릴만한게 7ester폴더밖에 없습니다. 그..

이 문제는 3개로 분할되어 있기 때문에, 다 작성을 하겠습니다. 문제들을 먼저 보겠습니다. #A : 공격자가 웹 페이지 소스코드를 유출한 시간 (UTC+09:00)은? #B : 리버스 쉘(Reverse Shell)을 동작시키는 프로세스 ID(Process ID)는? (10진수) #C : 리버스 쉘(Reverse Shell)에 대한 공격자 주소(IP)는? 문제 파일을 다운 받아서 FTK로 열어보니 다음과 같은 폴더들이 있었습니다. 해당 폴더에 들어있는 파일들을 간략하게 보겠습니다. accounts : group(사용자의 그룹목록) history(사용자가 입력했었던 명령어) lastlog(마지막 접근했던 사용자 정보) last_R(로그인 상태) passwd(리눅스 계정 정보를 담은 파일) shadow(계정 ..

문제를 한번 보겠습니다. jpg 파일을 하나 줍니다. 다운을 받아 실행 시켜 봅시다. 실행이 잘 되는것으로 보아, 헤더 시그니처나 푸터 시그니처는 정상적으로 작동하는 것을 볼 수 있다. 그래서 Hxd에디터로 열어서 ABCTF를 입력했는데, 이런식으로 플래그 값을 찾을 수 있었습니다. 쉬운 게싱 문제였던거 같습니다. 다른 방법으로 풀자면, 리눅스에서 file 명령어를 통해서 파일의 유형을 확인하면 다음과 같이 문구가 나옵니다. 그래서 strings 명령어로 플래그 포맷인 ABCTF를 입력하시면 다음과 같이 플래그 값을 볼 수 있습니다.

이번 시간에는 CTF-D에 Disk 카테고리 문제인 "X 회사의 재정 정보를 훔치기" 를 풀겠습니다. 문제를 보겠습니다. 주어진 파일을 다운 받고 hxd에디터로 열어 보겠습니다. 7z로 된것을 보아 7-zip으로 압축된 파일입니다. 그래서 7-zip으로 압축을 풀었습니다. (하지만 hxd로 봐도 좋지만 바로 이해하기는 힘들기 때문에, 리눅스에서 file [파일명] 하시는게 제일 편합니다!!) 압축을 풀면 다음과 같이 Users파일이 나옵니다. 들어가시면 다양한 폴더가 존재하는데 한번 보겠습니다. All Users, Default, Default User, proneer, Public이 존재하는데, 문제를 보면 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다고 하였다. 그럼 EXCEL파일이니..

CTF-D 사이트에 있는 Disk 카테고리에 "파일에서 플래그를 찾아라" 를 풀어보겠습니다. 문제를 먼저 보겠습니다. 주어진 파일에서 플래그를 찾는 문제인거 같습니다. 파일을 다운 받아보겠습니다. 이러한 이름을 가진 파일을 찾아볼 수 있는데요, 확장자를 알 수 없습니다. 그래서 리눅스로 파일을 들고가 file 명령어를 통해서 파일 유형을 한번 봅시당. $ file [파일명] XZ파일로 되어 있는것을 확인할 수 있습니다. 그래서 UNXZ을 이용해서 압축을 해제하겠습니다. $ unxz [파일명] 물론 뒤에 .xz를 추가해주셔야 압축 해제가 됩니다. 압축을 해제 한 뒤 다시 file 명령어를 통해서 파일 유형을 살펴봅시다. $ file [파일명] 7-zip으로 된 압축 파일인것을 알 수 있습니다. 그래서 Wi..

Multimedia에 문제 제 친구의 개가 바다에서를 풀어보겠습니다. 문제를 보겠습니다. 주어진 파일 hidden.jpg를 다운받고 실행시켜 보겠습니다. 엄청 밝기가 강하네요...그래서 명암을 조절 해줬습니다. 조절을 해줬더니 다음과 같이 문제를 풀 수 있는 플래그가 나왔습니다. Flag : tjctf{th3_f0x_jumo3d_0v3r_m3} -reperence- 디지털 포렌식 with CTF