[Multimedia] 저는 이 파일이 내 친구와… 문제를 보겠습니다. 주어진 문제를 hxd로 열어 보겠습니다. PKZIP 형식으로 된 것을 보니 확장자만 바꿔주면 될 것 같습니다. 바꿔주니 압축 되어있는 파일들이 있었습니다. secret.png를 열어보니 헤더 시그니처가 빠져서 시그니처를 추가시켜주니 답을 찾을 수 있었습니다. CTF-D/Multimedia 2022.07.16
[Multimedia] 천 마리의 말보다 사진 한장... 문제를 보겠습니다. 문제를 보면, 1000개의 파일이 존재하는데 이 중 jpeg로 된 사진만 찾으면 됩니다. 파일을 압축푸니 1000개의 파일이 생겼습니다. unzip data.zip 그다음 jpeg로 된 사진을 찾아야 하는데, 다음과 같은 명령어로 한번 찾아봅시다. file * | grep "JPEG" 이 명령어를 사용했을 경우 답을 찾을 수 있었습니다. CTF-D/Multimedia 2022.07.16
[Multimedia] 저희는 이 문서를 찾았습니다. 문제를 보겠습니다. 마찬가지로 파일을 다운 받아 hxd로 열어보겠습니다. 또 zip 형식으로 되어 있어 zip으로 바꿔주니 플래그를 찾을 수 있었습니다. CTF-D/Multimedia 2022.07.16
[Multimedia] 내 친구 Mich는 이 멋진 튤립… 문제를 보겠습니다. 파일을 다운 받아보니 튤립이 하나 있습니다. 음...그래서 스테가노그래피인거 같아서 stegsolve를 사용했습니다. 뭔가 적혀있는 것 같아서 확대를 시켜봤습니다. 원본에서 확대를 시켜보니 답을 찾을 수 있었습니다. 이런식으로 말이죠!!! CTF-D/Multimedia 2022.07.16
[Memory] GrrCon 2015 #16 문제를 보겠습니다. 문제를 보면, 시스템에 원격으로 접근하는 방법은 여러가지가 있는데, 그 중 공격자가 원격 접근 방식을 사용했다. 연결한 IP 주소는 무엇인가?? 결국엔, 클라이언트 원격 관리 서비스의 이름을 가진 프로그램을 찾아야 하는데, 일단 팀뷰어를 가지고 원격을 접속하고, 또 프로그램을 실행한 것으로 보아 netscan 플러그인을 사용하겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 다양한 네트워크 흔적들을 보았을 때, 팀뷰어를 실행하고 난 후 프로세스들을 보면 outlook, mstsc 등등 있는데, mstsc는 마이크로소프트에서 구성하는 터미널 클라이언트 원격.. CTF-D/Memory 2022.07.09
[Memory] GrrCon 2015 #15 문제를 보겠습니다. 문제를 보시면, 원격 관리 소프트웨어를 설치했다고 한다. 원격 관리 소프트웨어를 찾아보자! 플러그인은 14번 문제와 동일하게 netscan입니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 보시면, TeamViewer라는 프로그램이 실행이 되고 있음을 알 수 있습니다. 팀뷰어는 컴퓨터 간 원격 제어, 데스크톱 공유, 파일 전송을 위한 컴퓨터 소프트웨어 패키지입니다. FLAG : Teamviewer.exe CTF-D/Memory 2022.07.09
[Memory] GrrCon 2015 #14 문제를 보겠습니다. 이번 문제에서는 공격자의 멀웨어가 사용한 IP 전체 주소와 포트는 무엇인가? 라고 물어봤기 때문에 네트워크 관련된 플러그인을 사용하면 됩니다. 그래서 netscan 플러그인을 사용해보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 우리가 이전에 풀었던 문제들을 보면, 악성 파일의 이름은 Any~~였고, 프로세스 인젝션 된 것은 iexplore.exe였습니다. 그래서 해당 플러그인을 사용하면, IP 주소와 포트를 찾을 수 있었습니다. FLAG :180.76.254.120:22 CTF-D/Memory 2022.07.09
[Memory] GrrCon 2015 # 13 문제를 보겠습니다. 문제를 보시면, nbtscan.exe 프로세스를 통해서, nbt.txt라는 텍스트 파일로 저장을 했다는 것을 알 수 있었다 그럼 명령어가 ./nbtscan.exe > nbt.txt 이렇게 되어있는 것 같은데, 찾아보니까 파일이 존재하지 않았습니다. 그래서 출제자가 문제를 낼 때, 에러를 범했을 것이라고 생각이 들어 txt파일만 다 찾아봤습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr ".txt" 하니까 많은 txt파일이 출력이 되는데, 그 중 비슷하게 생긴 nbs.txt가 눈에 들어왔습니다. 그래서 dumpfiles 명령어를 가지고, .. CTF-D/Memory 2022.07.09
[Memory] GrrCon 2015 #12 문제를 보겠습니다. netscan.exe의 타임 스탬프를 말하는데, 실제로 문제에 오타가 있는 것 같습니다. 그래서 아까 찾았던 3개의 실행 파일 중, nbtscan.exe임을 깨닫고, mftpaser를 통해서 출력한 엑셀 파일에서 찾아보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser | findstr "nbtscan.exe" 타임스탬프를 찾을 수 있었습니다. FLAG :2015-10-09 10:45:12 CTF-D/Memory 2022.07.09
[Memory] GrrCon 2015 #11 문제를 보겠습니다. 프런트 데스크 로컬 관리자의 계정 암호를 찾는것이 문제입니다. 이 문제는 엉겹결에? 푼것같지만, 전에 사용했던 consoles 플러그인을 사용했을 때, 나오는 값을 보시면, 답을 찾을 수 있었습니다. FLAG : flagadmin@1234\ 다른 방법으로 풀고 싶다면, 이렇게 푸시면 됩니다. cmdscan 플러그인을 사용합니다. 그럼 위 보시는 사진과 같이 값이 출력이 되는데, w.tmp에 뭔가를 -w 옵션을 준 것으로 보아 뭘 썼습니다. 그래서 filescan 플러그인을 활용해서 w.tmp에 대한 오프셋 주소를 찾아서 dumpfiles로 덤프를 뜨시면 찾아볼 수 있습니다. CTF-D/Memory 2022.07.09
