비전공자의 포렌식일기

문제를 보겠습니다. 이번 문제부터는 빠르게 넘어가겠습니다. 해석하면 다음 레벨의 비밀번호는 inhere 디렉토리에서 사람이 읽을 수 있는 유일한 파일에 저장됩니다.즉, inhere안에서 풀어라 이말씀이죠. 그럼 풀어보겠습니다. 접속을 하고 난 후, ls 명령어를 통해서 존재하는 파일이 무엇인지 알아보고 cd 명령어로 디렉터리 이동을 했습니다. inhere 디렉터리 안에, 다양한 파일들이 존재하고 있음을 알 수 있습니다. 하나씩 다 ./로 실행을 시켜도 되지만, file 명령어를 통해서 파일의 구조를 보겠습니다. file07 파일에서만 ASCII text 값임을 알 수 있었고, cat 명령어로 출력을 해봅시다. level5로 가는 password를 구할 수 있었습니다.

이번에 리뷰해 볼 논문은 서울대학교 융합과학기술 대학원에서 2018년에 투고된 웹 브라우저의 포렌식 분석 기법 비교 연구라는 논문이다. 논문의 원본은 다음 링크로 가면 볼 수 있습니다. https://s-space.snu.ac.kr/handle/10371/142264 본 논문의 리뷰 작성 이전에, 모든 실습 내용을 다루지 않는 점을 양해 부탁드립니다. Abstract 웹 브라우저는 사람과 인터넷을 연결해주는 매개체이며, 웹 브라우저를 통해서 할 수있는 인터넷 주 활동인 커뮤니케이션, 이메일, 게임, 정보 공유 등 이용할 수 있는 서비스가 다양하다. 현재 우리는 자율주행자동차와 같은 IOT(사물인터넷)가 일상화가 되어있으며, 실생활과 사이버 생활의 경계가 모호해지는 24시간 인터넷 속 세상에서 살게 될 것..

레지스트리를 배우기 전에 먼저, 윈도우 아티팩트(Windows Artifacts)에 대해서 배워보겠습니다. 윈도우 아티팩트란? Windows가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소 Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체라고 할 수 있습니다. 여기서 아티팩트라는 단어를 잘 모르실 수 있기 때문에 설명을 좀 드리자면, 영어 단어로 인공물이라고 불리지만 컴퓨터에서 아티팩트란 사용자가 시스템을 사용했을 때 생성이 되는 "흔적" 이라고 생각 하시면 됩니다. 간단하게, 사용자가 크롬 브라우저를 클릭했을 때를 떠올려 봅시다. 그럼 크롬 브라우저가 실행이 되고, 검색창에 네이버를 입력하게 되면, 네이버 사이트를 보여주잖아요? 그럼 우리가 크롬 브라우저를 통해서..

푸문제를 보겠습니다. 패스워드와 zip파일을 하나 줍니다. zip파일을 압축 해제를 하였더니 패스워드를 입력하라 해서 문제에서 주어진 패스워드를 입력하니 풀렸습니다. 압축을 해제하면 jpg 파일과 zip파일을 하나 줍니다. zip 파일을 해제 할려했으나 패스워드가 걸려있어 해제를 할 수 없었고, jpg파일에서 패스워드를 얻어야 하나 봅니다. 주어진 cewe파일을 hxd에디터로 열어보면 다음과 같이 패스워드로 추측할 수 있는 데이터가 있었습니다. 파이썬 코드로 작성하여 복호화를 해봅시다. list1 =[0x56,0x6D,0x31,0x34,0x55,0x31,0x4E,0x74,0x56,0x6B,0x5A,0x4E,0x56,0x57,0x52,0x59,0x59,0x6B,0x5A,0x77,0x55,0x46,0x5A,..

문제를 한번 보겠습니다. 주어진 파일을 다운 받아 실행 시켜 보겠습니다. 다음과 같이 마술사? 같은 사람이 한 명 나와있는데, hxd에디터로 열어 보겠습니다. hxd로 봤을때, 수상한 점이 하나 있었습니다. 여러개의 jpg 파일이 있을거란 추측을 할 수 있었고, 카빙을 진행 하겠습니다. JFIF의 푸터시그니처인 FF D9를 검색을 해보겠습니다. 오프셋을 기억하고, 헤더 시그니처인 ff d8 FF e0 을 보겠습니다. 2개가 나오는데, BE ~ 6A46까지 카빙을 해보고, 188 ~ BA35까지 카빙을 해보겠습니다. 이렇게 2개의 파일이 추출이 되는데, 위에 INS를 뒤집어 놓은 것을 대칭 이동을 하게되면 정상적으로 보입니다. FLAG : INS{MAGNIFICATION_X100_FOR_STARTERS}

문제를 보겠습니다. spam.txt를 누르면 다음과 같이 스팸 메시지가 뜹니다. 그래서 그대로 전체 선택을 한 후 https://www.spammimic.com/decode.shtml 여기 사이트에서 복호화를 진행 하시면 됩니다. FLAG : flag_is_b3st_spam_st3g4n0

문제를 보겠습니다. 7z으로 된 파일을 다운 받아 7zip으로 압축을 해제 하겠습니다. 압축을 해제하면 pcap파일이 하나 나오는데 실행을 해보겠습니다. 패킷을 보면 flag.zip이라는 파일을 보냈다는 것을 알 수 있습니다. 그래서 networkminer로 패킷에 잡힌 파일을 다 보겠습니다. 각각 469 바이트씩 나눠져 있는데, flag[8]은 3,745바이트인것을 보아, 저 3,745바이트 짜리의 zip파일을 쪼개서 보낸 것 같습니다. 그래서 flag[8]만 추출하겠습니다. psd파일을 볼 수 있는데, 여기 사이트에 들어가서 파일을 드래그하여 던져주면 플래그 값을 찾을 수 있었습니다. https://www.photopea.com/ FLAG : MMA{sneak_spy_sisters}

문제를 보겠습니다. 주어진 첨부 파일을 다운 받아서 실행 시켜 보았습니다. 실행을 시켜보니 움직이는 사진이 보이는데, hex에디터로 열어봤으나 보이지 않아서 리눅스에서 풀어보겠습니다. 확장자가 gif 파일인지 확인하기 위해서 파일의 유형을 먼저 살펴봤습니다. file gif 파일임을 알았습니다. 다음으로 binwalk 명령어를 통해서 파일의 구성을 살펴 보았습니다. binwalk binwalk결과 수상한 점을 볼 수 없었습니다. 그래서 혹시나 문자열로 뭔가 숨겨져 있을까 하고 strings 명령어를 통해서 데이터들을 봤습니다. 플래그 값을 찾을 수 있었습니다. FLAG : gandalfthebest

문제를 보겠습니다. 주어진 파일을 하나 실행시키면 다음과 같은 사진이 하나 나옵니다. hxd 에디터로 열어봤으나 아무런 내용을 찾을 수 없었는데, 유독 사람 부분이 엄청 진하게 되어 있음을 알았습니다. 그림판으로 열어서 색을 반전시켰더니 플래그를 찾을 수 있었습니다. FLAG : L1nux3rr0r

이 글은 "후니의 CISCO 네트워킹" 을 참고하여 작성하였습니다. 지난 시간에 배운 것들을 복습하겠습니다. LAN : 어느 한정된 공간에서 네트워크를 구성 WAN : 멀리 떨어진 곳과의 네트워크 구축 이더넷 : 네트워킹의 한 방식으로, 네트워크를 만드는 방법 중 하나이며, 동작하는 방식은 CSMA/CD 프로토콜을 사용하여 통신 토큰링 : 이더넷처럼 마음대로 데이터를 보내는 방식이 아니라, 네트워크에서 오직 하나의 PC, 즉 토큰을 가진 PC만이 네트워크에 데이터를 실어 보낼 수 있는 것 간단하게 지난 시간에 작성한 것들을 복습했고, 오늘은 더욱 많은 것들을 포스팅 해보겠습니다. 케이블 우리는 네트워크를 구성하면서 자주 만나는 것이 "케이블" 이란 단어가 아닐까 싶습니다. 케이블은 전화 케이블이나 전원 ..