CHIqueen

50pt Do you think this is a normal image? No! Dig deeper to find out more..... 파일은 jpeg 파일이다. hxd로 열어보자 PK 시그니처 압축파일인것 같다. 추출해 압축을 풀어주면 a.zip과 secret.bmp가 나오는데 a.zip은 암호가 걸려있다. secret.bmp에서 압축 비밀번호를 얻어야 할거 같은데 사진을 열어보면 지원하지 않는 파일이라한다.이것도 hxd로 열어보자 b= 하고 base64가 보인다. 풀어보면the password is: h3110_th3r3! 라고 알려준다. 또 그냥 도형만 그려진 사진이 나온다. stegsolve로 한번 돌려보자 pctf{st3gs0lv3_1s_u53ful}

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..

We found out that one of the Otters been leaking information from our network! Find the leaked data. 패킷을 보다보면 SMB프로토콜을 많이 볼 수 있습니다 모두 저장을 해줍니다. 파일을 열어보면 전부 한글자씩 나눠 저장 되어 있습니다. 한번 다 출력 시켜 봅니다 LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0= base64 decode해줍니다 무스부호 같이 생겼네요 CTF{M0R5EOT73RINB64}