CHIqueen

100ptMagic PNGs:Can you help me open this zip file? I seem to have forgotten its password. I think the image file has something to do with it. tryme.zip과 you_cant_see_me.png 파일이 주어지는데 아마 png에서 암호를 구해 압축을 푸는 문제일거 같습니다. 사진을 열어봤을때 눈에 띄게 이상한부분이 있습니다. 파일의 시그니처와 idat인데 둘을 89 50 4E 47 2E 0A 2E 0A -> 89 50 4E 47 0D 0A 1A 0Aidat -> IDATh4CK3RM4n 이 그대로 넣으면 비번이 틀려서 풀리지 않습니다.md5(h4CK3RM4n) = 2c919f82ee2ed69..

50pt Do you think this is a normal image? No! Dig deeper to find out more..... 파일은 jpeg 파일이다. hxd로 열어보자 PK 시그니처 압축파일인것 같다. 추출해 압축을 풀어주면 a.zip과 secret.bmp가 나오는데 a.zip은 암호가 걸려있다. secret.bmp에서 압축 비밀번호를 얻어야 할거 같은데 사진을 열어보면 지원하지 않는 파일이라한다.이것도 hxd로 열어보자 b= 하고 base64가 보인다. 풀어보면the password is: h3110_th3r3! 라고 알려준다. 또 그냥 도형만 그려진 사진이 나온다. stegsolve로 한번 돌려보자 pctf{st3gs0lv3_1s_u53ful}

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..