목록포렌식 (46)
CHIqueen
Houseplant Jess's Guitar
힌트에 들어가보면 https://www.youtube.com/watch?v=QS1-K01mdXs 고든램지가 RAW(들익었다)! 하는 영상이 나온다. 그럼 뭐다? mp3는 버리고 raw를 생각해야한다. 그리고 문제에서 1700*1700 이거랑 같이 생각해본다면 https://rawpixels.net/ RAW Pixels Robert Mazur robert.mazur(*)rawpixels.net RAW pixels viewer. This application allows you analyze raw image data, you can display memory dumps of frame buffers, video buffers and uncompressed video files. Play with image..
Houseplant Ezoterik
밑을 보면 FF D9 이후로 뭐라 블라블라있는데 base58이다. elevator lolwat action main show 114 show 116 show 99 show 112 show 123 show 78 show 111 show 116 show 32 show 113 show 117 show 105 show 116 show 101 show 32 show 110 show 111 show 114 show 109 show 97 show 108 show 32 show 115 show 116 show 101 show 103 show 111 show 95 show 52 show 120 show 98 show 98 show 52 show 53 show 103 show 121 show 116 show 106 sho..
Houseplant Deep Lyrics
문제 이름에 힌트가 있다. Deep wav steg를 검색해보니 DeepSound란 프로그램이 나왔다. 새로운 툴의 발견 파일을 불러와서 Extract 해주면 not-sorry.txt가 나온다. rtcp{got_youuuuuu}
Houseplant Imagery
$ python vol.py -f imagery.raw imageinfo Volatility Foundation Volatility Framework 2.6.1 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win10x64_17134, Win10x64_14393, Win10x64_10586, Win10x64_16299, Win2016x64_14393, Win10x64_17763, Win10x64_15063 (Instantiated with Win10x64_15063) AS Layer1 : SkipDuplicatesAMD64PagedMemory (Kernel AS) AS Layer2 : ..
UMDCTF CoolCoin
png니까 zsteg를 한번 돌려봤다. # zsteg -a CoolCoin.png imagedata .. text: "(((&&&\r\r\r" b2,rgb,lsb,xy .. file: , 32 kHz, Monaural b3,g,msb,xy .. file: MPEG ADTS, layer I, v2, Monaural b3,b,msb,xy .. file: MPEG ADTS, layer I, v2, Monaural b3,bgr,msb,xy .. file: ddis/ddif b4,r,msb,xy .. file: MPEG ADTS, layer I, v2, JntStereo b4,g,msb,xy .. text: ["w" repeated 11 times] b4,b,msb,xy .. text: ["w" repeated ..
UMDCTF Zero Cool
https://ezgif.com/split Split animated GIF image in frames (free online tool) This online tool is designed to convert an animated GIF (and WebM, APNG, MNG) image into individual frames for editing or viewing them separately. ezgif.com 여기로 가서 프레임별로 짤라줍니다. UMDCTF-{tr4sh1ng_th3_fl0w}
UMDCTF Jarred-3
윈도우 메모리문제 kdbgscan으로 Win7SP1x64 찾아주고 python vol.py -f jarred3.vmem kdbgscan Volatility Foundation Volatility Framework 2.6.1 ************************************************** Instantiating KDBG using: /home/sansforensics/Desktop/volatility/jarred3.vmem WinXPSP2x86 (5.1.0 32bit) Offset (P) : 0x2a080a0 KDBG owner tag check : True Profile suggestion (KDBGHeader): Win7SP1x64 PsActiveProcessHead : 0..
UMDCTF Jarred-1
lUbuntu 메모리 포렌식 문제다. 문제 파일로는 메모리, System.map, dwarf가 주어지는데 시스템맵이랑 드워프를 사용해 프로파일을 만들어야 한다. 최근에 Volatility 3버전 베타가 나왔길래 써볼라 했더니 뭔지도 모르겠고 wiki에서는 symbol머시기 머 이렇게 저렇게 하라는데 모르겠고 그냥 시간 버리다가 그냥 2.6.1로 하기로 했다. https://github.com/volatilityfoundation/volatility/wiki/Linux volatilityfoundation/volatility An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by c..
UMDCTF SomeZips
압축 풀기 문제다. 비밀번호는 압축한 파일중 가장큰 용량을 가진 파일이다. 이 파일들은 AES로 암호화 되어있기 때문에 내장 라이브러리인 zipfile로는 못풀고 pyzipper를 사용해야한다. import pyzipper import shutil import os import timeit def getAns(testpw, largest, some_zip, flag): global cycle answer='' status=0 for i in testpw: if(flag==1 and i == largest): continue try: some_zip.extract(largest, path='temp/', pwd=i.encode()) except RuntimeError: #print("fail pw") st..