비전공자의 포렌식일기

문제를 보겠습니다. 문제를 보면, 1000개의 파일이 존재하는데 이 중 jpeg로 된 사진만 찾으면 됩니다. 파일을 압축푸니 1000개의 파일이 생겼습니다. unzip data.zip 그다음 jpeg로 된 사진을 찾아야 하는데, 다음과 같은 명령어로 한번 찾아봅시다. file * | grep "JPEG" 이 명령어를 사용했을 경우 답을 찾을 수 있었습니다.

문제를 보겠습니다. 마찬가지로 파일을 다운 받아 hxd로 열어보겠습니다. 또 zip 형식으로 되어 있어 zip으로 바꿔주니 플래그를 찾을 수 있었습니다.

문제를 보겠습니다. 파일을 다운 받아보니 튤립이 하나 있습니다. 음...그래서 스테가노그래피인거 같아서 stegsolve를 사용했습니다. 뭔가 적혀있는 것 같아서 확대를 시켜봤습니다. 원본에서 확대를 시켜보니 답을 찾을 수 있었습니다. 이런식으로 말이죠!!!

푸문제를 보겠습니다. 패스워드와 zip파일을 하나 줍니다. zip파일을 압축 해제를 하였더니 패스워드를 입력하라 해서 문제에서 주어진 패스워드를 입력하니 풀렸습니다. 압축을 해제하면 jpg 파일과 zip파일을 하나 줍니다. zip 파일을 해제 할려했으나 패스워드가 걸려있어 해제를 할 수 없었고, jpg파일에서 패스워드를 얻어야 하나 봅니다. 주어진 cewe파일을 hxd에디터로 열어보면 다음과 같이 패스워드로 추측할 수 있는 데이터가 있었습니다. 파이썬 코드로 작성하여 복호화를 해봅시다. list1 =[0x56,0x6D,0x31,0x34,0x55,0x31,0x4E,0x74,0x56,0x6B,0x5A,0x4E,0x56,0x57,0x52,0x59,0x59,0x6B,0x5A,0x77,0x55,0x46,0x5A,..

문제를 한번 보겠습니다. 주어진 파일을 다운 받아 실행 시켜 보겠습니다. 다음과 같이 마술사? 같은 사람이 한 명 나와있는데, hxd에디터로 열어 보겠습니다. hxd로 봤을때, 수상한 점이 하나 있었습니다. 여러개의 jpg 파일이 있을거란 추측을 할 수 있었고, 카빙을 진행 하겠습니다. JFIF의 푸터시그니처인 FF D9를 검색을 해보겠습니다. 오프셋을 기억하고, 헤더 시그니처인 ff d8 FF e0 을 보겠습니다. 2개가 나오는데, BE ~ 6A46까지 카빙을 해보고, 188 ~ BA35까지 카빙을 해보겠습니다. 이렇게 2개의 파일이 추출이 되는데, 위에 INS를 뒤집어 놓은 것을 대칭 이동을 하게되면 정상적으로 보입니다. FLAG : INS{MAGNIFICATION_X100_FOR_STARTERS}

문제를 보겠습니다. spam.txt를 누르면 다음과 같이 스팸 메시지가 뜹니다. 그래서 그대로 전체 선택을 한 후 https://www.spammimic.com/decode.shtml 여기 사이트에서 복호화를 진행 하시면 됩니다. FLAG : flag_is_b3st_spam_st3g4n0

문제를 보겠습니다. 7z으로 된 파일을 다운 받아 7zip으로 압축을 해제 하겠습니다. 압축을 해제하면 pcap파일이 하나 나오는데 실행을 해보겠습니다. 패킷을 보면 flag.zip이라는 파일을 보냈다는 것을 알 수 있습니다. 그래서 networkminer로 패킷에 잡힌 파일을 다 보겠습니다. 각각 469 바이트씩 나눠져 있는데, flag[8]은 3,745바이트인것을 보아, 저 3,745바이트 짜리의 zip파일을 쪼개서 보낸 것 같습니다. 그래서 flag[8]만 추출하겠습니다. psd파일을 볼 수 있는데, 여기 사이트에 들어가서 파일을 드래그하여 던져주면 플래그 값을 찾을 수 있었습니다. https://www.photopea.com/ FLAG : MMA{sneak_spy_sisters}

문제를 보겠습니다. 주어진 첨부 파일을 다운 받아서 실행 시켜 보았습니다. 실행을 시켜보니 움직이는 사진이 보이는데, hex에디터로 열어봤으나 보이지 않아서 리눅스에서 풀어보겠습니다. 확장자가 gif 파일인지 확인하기 위해서 파일의 유형을 먼저 살펴봤습니다. file gif 파일임을 알았습니다. 다음으로 binwalk 명령어를 통해서 파일의 구성을 살펴 보았습니다. binwalk binwalk결과 수상한 점을 볼 수 없었습니다. 그래서 혹시나 문자열로 뭔가 숨겨져 있을까 하고 strings 명령어를 통해서 데이터들을 봤습니다. 플래그 값을 찾을 수 있었습니다. FLAG : gandalfthebest

문제를 보겠습니다. 주어진 파일을 하나 실행시키면 다음과 같은 사진이 하나 나옵니다. hxd 에디터로 열어봤으나 아무런 내용을 찾을 수 없었는데, 유독 사람 부분이 엄청 진하게 되어 있음을 알았습니다. 그림판으로 열어서 색을 반전시켰더니 플래그를 찾을 수 있었습니다. FLAG : L1nux3rr0r

문제를 한번 보겠습니다. 주어진 압축파일을 풀면 다음과 같은 사진이 보입니다. 사진에서 이제 글을 숨겨 놓은줄 알고, 확대를 시켜 봤으나 아무것도 보이지 않았습니다. 고민을 하다가, 혹시나 가로 세로를 변형 시켰나? 싶어서 세로의 길이를 조금 키워줬습니다. 하니까 플래그 값을 찾을 수 있었습니다.