CHIqueen

패킷을 열어서 보는데 너무 똑같다. 크기순으로 정렬해보면 하나가 나온다. TCP Stream을 보면 nc 37.46.96.0 1337 Kazakhstan

파일을 열어보면 pdf가 한칸 씩 띄어져 있다 파이썬으로 붙여줍니다. a = open("sensitive","rb").read() b = open("flag.pdf","wb") b.write(a[::2]) a.close() b.close() pdf열어보면 이렇게 있는데 가운데에 자세히보면 QR코드가 있다. 잘 보이게 만들어주고 색 입혀줍니다.

시작해보자 $ vol.py -f for2.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : VirtualBoxCoreDumpElf64 (Unnamed AS) AS Layer3 : FileAddressSpace (/home/sansforensics/Desktop/for2.raw) PAE type : PAE DTB :..

솔직히 많이 못만든 문제 문제 설명도 구대기고 정확히 뭘 원하는지 모르는 문제 $ vol.py -f for1.raw kdbgscan Volatility Foundation Volatility Framework 2.6 ************************************************** Instantiating KDBG using: Unnamed AS WinXPSP2x86 (5.1.0 32bit) Offset (P) : 0x2785b78 KDBG owner tag check : True Profile suggestion (KDBGHeader): Win7SP1x86_23418 Version64 : 0x2785b50 (Major: 15, Minor: 7601) PsActiveProcess..

200ptMarioJones is studying grade 10. He was submitting his school Assignment when something weird happened and his computer shut down without any warning. Can you help him ? 메모리 포렌식 문제입니다. rekall을 통해 프로세스부터 간단하게 봅시다. 대충 느낌이 chrome이 프로세스 은닉 되었을 가능성이 있습니다. psxview해보려 했는데 갑자기 rekall이 터져서 volatility로 급하게 넘어가겠습니다. 크롬의 메모리를 떼어 보겠습니다. pctf{Late_submissions_can_be_good}

200ptRyan's friend has hidden something in this image and challenged his to find it out. Can you help him recover the secret message ?? zip파일에는 암호가걸린 pdf파일과 용량큰 jpeg 파일이 있습니다. 49 44 33 04는 koz라는 확장자를 가진 Sprint Music Store audio 라고 합니다.https://filesignatures.net/index.php?page=search&search=49443303000000&mode=SIG 이 파일은 audacity에서도 인식을 못해서 mp3파일로 바꿔 줍니다.https://www.online-convert.com/file-format/..

150pt In the mid 21st century, Ex-NASA pilot Cooper leaves his little daughter and goes an interstellar journey around the space to find an alternative planet (PLAN A) or to capture gravitational data and send it back to earth, which Scientists will use to save Earth. However Cooper finds himself stuck in a tesseract that spans across time, there is only one way he could transmit the data to his..

100ptMagic PNGs:Can you help me open this zip file? I seem to have forgotten its password. I think the image file has something to do with it. tryme.zip과 you_cant_see_me.png 파일이 주어지는데 아마 png에서 암호를 구해 압축을 푸는 문제일거 같습니다. 사진을 열어봤을때 눈에 띄게 이상한부분이 있습니다. 파일의 시그니처와 idat인데 둘을 89 50 4E 47 2E 0A 2E 0A -> 89 50 4E 47 0D 0A 1A 0Aidat -> IDATh4CK3RM4n 이 그대로 넣으면 비번이 틀려서 풀리지 않습니다.md5(h4CK3RM4n) = 2c919f82ee2ed69..

50pt Do you think this is a normal image? No! Dig deeper to find out more..... 파일은 jpeg 파일이다. hxd로 열어보자 PK 시그니처 압축파일인것 같다. 추출해 압축을 풀어주면 a.zip과 secret.bmp가 나오는데 a.zip은 암호가 걸려있다. secret.bmp에서 압축 비밀번호를 얻어야 할거 같은데 사진을 열어보면 지원하지 않는 파일이라한다.이것도 hxd로 열어보자 b= 하고 base64가 보인다. 풀어보면the password is: h3110_th3r3! 라고 알려준다. 또 그냥 도형만 그려진 사진이 나온다. stegsolve로 한번 돌려보자 pctf{st3gs0lv3_1s_u53ful}

We found out that one of the Otters been leaking information from our network! Find the leaked data. 패킷을 보다보면 SMB프로토콜을 많이 볼 수 있습니다 모두 저장을 해줍니다. 파일을 열어보면 전부 한글자씩 나눠 저장 되어 있습니다. 한번 다 출력 시켜 봅니다 LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0= base64 decode해줍니다 무스부호 같이 생겼네요 CTF{M0R5EOT73RINB64}