본문 바로가기

CTF/Forensic13

[CTF-d Multimedia] google 문제 풀이 문제에 첨부된 이미지를 열어보면 아래와 같다. 자세히 보면 이미지에 빨간 점들이 있음을 볼 수 있다. 어쩌면 해당 점 위치들을 알면 무언가 나오지 않을까 싶다. 그런데 해당 점들을 살펴보던 중 점들의 색의 rgb값이 (255, 0, n)인 것을 확인할 수 있었다. 이를 통해 좌표가 아닌 rgb 값 중 b에 대한 값으로 볼 수 있다는 것을 알 수 있다. 그래서 왼쪽에서부터의 점들의 색을 rgb로 읽어낸다. 코드는 다음과 같다. from PIL import Image img = Image.open("./google.png") result = "" for i in range(img.size[0]): for j in range(img.size[1]): pixel = img.getpixel((i, j).. 2021. 4. 29.
[CTF-d Multimedia] 우리는 바탕화면 캡처 본을 얻었다. 문제 풀이 문제에 첨부된 이미지를 열면 아래와 같다. 이미지에는 HxD 프로그램을 통해 어떠한 파일을 연 것을 볼 수 있고 그림판을 볼 수 있다. 그림판에 검정색이 표시되어 있으니 HxD 부분에 페인트 통으로 색을 넣도록 하겠다. 그럼 위와 같이 flag 값이 나온 것을 볼 수 있다. flag : SECCON{the_hidden_message_ever} 제작 방법 HxD에서 검정색 페인트 통으로 넣었을 때 흰 부분이 글자가 되도록 만들었을 것이다. 이때, 검정색으로 둘러싸여 있는 부분의 속은 색이 바뀌지 않고 흰색으로 남아있을 것을 이용한 것이다. Ex) 6, D 등 2021. 4. 29.
[CTF-d Multimedia] 답을 찾기 위해 돋보기를 써라! 문제 풀이 첨부된 html을 열어보면 아래와 같은 QR 코드를 볼 수 있다. 해당 QR 코드를 스마트폰을 찍어 확인하면 아래와 같다. flag는 8febb919bc0fc08e3e1108b1b6bfef37 이다 제작 방식 텍스트가 저장된 파일을 QR 코드로 만들어 저장 2021. 4. 29.
[CTF-d Disk] 이벤트 예약 웹사이트를 운영하고… #A, B, C 문제 문제 A : 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? 문제 B : 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) 문제 C: 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? 풀이 파일을 살펴보면 아래와 같이 되어 있음을 알 수 있다. 해당 파일 안에는 각각 아래와 같은 파일들이 담겨있다. accounts : group, history, last_R, lastlog, passwd, shadow, w file : fls_r_m, macmactime_b network : arp, lsof, netstat_an osinfo : date, df_k, hostname, ifconfig_a, localtime, timezone, u.. 2021. 4. 2.
[CTF-d Memory] GrrCON 2015 #2 문제 풀이 이 문제에서는 이메일로 첨부해 보낸 파일의 이름을 찾아야 하므로 1번 문제에서 만든 1396dmp.txt 파일에서 .exe를 찾아보았다. 그랬더니 메일 내용으로 추정되는 문자열들이 보이고 바로 아래 첨부 파일로 추정되는 AnyConnectInstaller.exe 나왔다. 그러므로 flag는 AnyConnectInstaller.exe임으로 알 수 있다. 2021. 4. 1.
[CTF-d Memory] GrrCON 2015 #1 문제 풀이 .vmss 파일이란 VMware에 사용되는 파일로 Suspended 상태의 가상머신을 저장한다. 이를 확인하기 위해 Volatility를 통해 정보들을 살펴보겠다. 아래 링크에서 Volatility를 설치하는 방법을 알 수 있습니다. cpuu.postype.com/post/2189640 volatility 설치 (Ubuntu 16.04 기준) 맨날 쓰는 volatility 인데 할 때마다 새로 설치하고 명령어 찾는게 귀찮아서 그냥 내가 참고하기 위해 여기에다가 써둠. Ubuntu 16.04 처음깔고난 상태로 가정했을 때 아래 순서대로만 하면 됨 간혹 ap cpuu.postype.com 아래 결과를 통해 우리는 해당 메모리가 Window 7을 이용했다는 것을 알 수 있다. vol.py -f Ta.. 2021. 4. 1.

티스토리툴바