비전공자의 포렌식일기

보호되어 있는 글입니다.

문제를 보겠습니다. zip파일을 다운 받아서 압축을 풀면 png파일이 하나 있습니다. 실행을 시키면 다음과 같습니다. hex값을 뒤집어 놓았다..? 그래서 hxd에디터로 열어보니 정말로 뒤집어 져 있었습니다. 그래서 이 문제는 반전을 시킨 hex값을 원래대로 해주기만 하면 되는구나 싶어서 다음과 같이 반전을 해주는 코드를 짰습니다. 위 9번줄 까지는 파일을 반전하여 새로운 png파일로 만들어 주는 과정을 담았고, 후에 나온 png파일에 있는 사진도 반전이 되어 있던 상태이기 때문에 15 ~ 18번 줄까지 추가로 붙혀줬습니다. 저렇게 코드를 입력하시면 제대로된 플래그를 찾을 수 있습니다.

문제를 보겠습니다. pdf파일을 다운 받아서 실행을 시켜 보면 다음과 같은 사진이 나옵니다. 사진만으로는 문제의 의도를 파악하기 힘들어 혹시나 또 카빙을 해야하나 싶어서 hxd에디터로 열어보니 별 문제가 없었습니다. 그래서 고민을 하던 찰나에 사진을 두리번 거리면서 커서를 왔다 갔다 했는데 먼가 수상한 것이 커서에 잡혔습니다. 해당 영역에서 커서가 화살표가 아니라 I 커서로 변하여 어떤 문자가 숨어져 있다고 생각하여 드래그를 하여 복사를 했더니 플래그 값을 찾을 수 있었습니다.

문제를 한번 보겠습니다. 주어진 파일을 다운 받아서 열어 보겠습니다. txt파일 3개가 있는데 flag.txt, hint1.txt, hint2.txt가 있습니다. 그런데, 3개의 파일 중 flag.txt만이 *이 있는것을 알 수 있습니다. zip 파일에서 *은 암호가 걸려 있다는 뜻입니다. 근데 hint1과 2는 암호가 없으니까 한번 열어 보겠습니다. 해석을 하자면 패스워드가 존재한다고 생각하니?? 와 Brute-Force(무차별 대입 공격)은 하지말라는 것입니다. 결국엔 툴을 사용하지 않고 패스워드를 풀 수 있다는 것입니다. 자세한건 zip 구조 링크를 달아드릴테니 읽어보시길 바랍니다. 바로 설명을 하자면, zip구조에서는 암호가 걸려 있지 않아도 걸려있다고 할 수 있는 방식이 존재합니다. 그래서 위 ..

문제를 보겠습니다. 주어진 파일을 다운로드 받아서 열어보니까 qwer.jpg 파일을 볼 수 있었습니다. 추측을 해본 결과 qwer.jpg 파일을 가지고 플래그 값을 찾는 형식인 것 같습니다. 그림의 형태로 보아 오뚜기 인형같이 큰거안에 작은게 들어있는 형식인 것 같아서 혹시나 하는 마음에 jpg 파일을 hxd 에디터로 열어서 jpg 푸터 시그니처인 FF D9를 입력해봤습니다. 입력 결과 다음과 같이 나왔습니다. 그림을 보시면, 푸터 시그니처 뒤에 가짜 플래그와 그 뒤에 PK로 시작하는 ZIP 시그니처가 보여서 jpg안에 숨겨진 ZIP파일이 있음을 알 수 있었고, 카빙을 진행하여 zip 확장자로 만들어 주니까 플래그 값을 구할 수 있었습니다.

문제를 한번 보겠습니다. 파일을 다운받아 보겠습니다. 다운을 받게 되면 zip파일안에 jpg파일이 하나 압축되어 있습니다. jpg파일을 열어봤으나 추리 퀴즈? 같은 내용만 적혀있고, 단서는 없기 때문에 혹시나 해서 Flag Format인 HackCTF를 입력했더니 플래그 값을 찾을 수 있었습니다.

문제를 한번 보겠습니다. 사진이 엄청 희미하게 보이는데, 저 이미지를 저장하여 사진앱으로 열게되면 플래그 값을 알 수 있습니다.

2022년 3월 6일에 pragyan CTF를 참여했습니다. 포렌식 문제를 풀어봤으며 한 문제씩 롸업을 한 번 쓰겠습니다. 문제를 한번 보겠습니다. 해석을 잘 하지 못해서 파파고를 써서 해석을 했습니다. 해석 : 프랭크는 한번도 "기술자"가 된 적이 없다. 비밀번호도 다시 쓰고 타이핑도 귀찮고 9 야드나 해요 그리고 이건 기술이 아니야, 그는 박쥐처럼 눈이 멀고 둥근 공만큼 날카로워. 패디로 가는 지름길도 모르잖아 그의 아들 데니스가 기억 보관소를 뒤지고 깃발을 재구성하는 걸 도와줘요 참고: Win7SP1x64 프로필을 사용하여 덤프를 분석하십시오. 이 문제와 관련된 모든 파일은 C 드라이브에만 있고 다른 드라이브에는 없습니다. 라는 문구가 쓰여져 있고, MemoryDump라는 이름으로 문제 파일을 하나..

이번 문제는 포렌식 카테고리에 Corrupted입니다. 문제를 한번 보겠습니다. png파일이 하나 첨부되어 있네요! 사진을 다운 받아 실행시켜봅시다. 지원되지 않는 형식이라네요..hxd 에디터로 열어봅시다. png 파일의 헤더시그니처가 없네요?? 그럼 푸터 시그니처도 한번 보겠습니다. 푸터 시그니처는 49 45 4E 44 AE 42 60 82로 존재하는것을 볼 수 있습니다. 그럼 헤더 시그니처만 입력을 시켜 저장을 해봅시다. 변경을 하고 저장을 해주면 됩니다. 헤더 시그니처는 89 50 4E 47 0D 0A 1A 0A입니다. 저장을 하게 되면 사진이 제대로 나오는것을 알 수 있습니다. 이 글자를 괄호안에 내용을 소문자로 입력을 하시면 됩니다. FLAG : Christmas{it_is_flag}

이번 시간에는 Forensic 카테고리에 Easy Forensic을 풀어보겠습니다. 문제를 한번 봅시다. 문제에 주어진 암호를 해석하면 됩니다. 해당 문자열은 비즈네르 암호화가 되어 있기 때문에 해독사이트에서 해독을 하면 됩니다. 영어 대소문자 평문인것을 보니 비즈네르라고 생각하셔도 됩니다!!