CHIqueen

lUbuntu 메모리 포렌식 문제다. 문제 파일로는 메모리, System.map, dwarf가 주어지는데 시스템맵이랑 드워프를 사용해 프로파일을 만들어야 한다. 최근에 Volatility 3버전 베타가 나왔길래 써볼라 했더니 뭔지도 모르겠고 wiki에서는 symbol머시기 머 이렇게 저렇게 하라는데 모르겠고 그냥 시간 버리다가 그냥 2.6.1로 하기로 했다. https://github.com/volatilityfoundation/volatility/wiki/Linux volatilityfoundation/volatility An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by c..

압축 풀기 문제다. 비밀번호는 압축한 파일중 가장큰 용량을 가진 파일이다. 이 파일들은 AES로 암호화 되어있기 때문에 내장 라이브러리인 zipfile로는 못풀고 pyzipper를 사용해야한다. import pyzipper import shutil import os import timeit def getAns(testpw, largest, some_zip, flag): global cycle answer='' status=0 for i in testpw: if(flag==1 and i == largest): continue try: some_zip.extract(largest, path='temp/', pwd=i.encode()) except RuntimeError: #print("fail pw") st..

패킷을 열어서 보는데 너무 똑같다. 크기순으로 정렬해보면 하나가 나온다. TCP Stream을 보면 nc 37.46.96.0 1337 Kazakhstan

파일을 열어보면 pdf가 한칸 씩 띄어져 있다 파이썬으로 붙여줍니다. a = open("sensitive","rb").read() b = open("flag.pdf","wb") b.write(a[::2]) a.close() b.close() pdf열어보면 이렇게 있는데 가운데에 자세히보면 QR코드가 있다. 잘 보이게 만들어주고 색 입혀줍니다.

시작해보자 $ vol.py -f for2.raw imageinfo Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x86_23418, Win7SP0x86, Win7SP1x86 AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : VirtualBoxCoreDumpElf64 (Unnamed AS) AS Layer3 : FileAddressSpace (/home/sansforensics/Desktop/for2.raw) PAE type : PAE DTB :..

솔직히 많이 못만든 문제 문제 설명도 구대기고 정확히 뭘 원하는지 모르는 문제 $ vol.py -f for1.raw kdbgscan Volatility Foundation Volatility Framework 2.6 ************************************************** Instantiating KDBG using: Unnamed AS WinXPSP2x86 (5.1.0 32bit) Offset (P) : 0x2785b78 KDBG owner tag check : True Profile suggestion (KDBGHeader): Win7SP1x86_23418 Version64 : 0x2785b50 (Major: 15, Minor: 7601) PsActiveProcess..

200ptMarioJones is studying grade 10. He was submitting his school Assignment when something weird happened and his computer shut down without any warning. Can you help him ? 메모리 포렌식 문제입니다. rekall을 통해 프로세스부터 간단하게 봅시다. 대충 느낌이 chrome이 프로세스 은닉 되었을 가능성이 있습니다. psxview해보려 했는데 갑자기 rekall이 터져서 volatility로 급하게 넘어가겠습니다. 크롬의 메모리를 떼어 보겠습니다. pctf{Late_submissions_can_be_good}

200ptRyan's friend has hidden something in this image and challenged his to find it out. Can you help him recover the secret message ?? zip파일에는 암호가걸린 pdf파일과 용량큰 jpeg 파일이 있습니다. 49 44 33 04는 koz라는 확장자를 가진 Sprint Music Store audio 라고 합니다.https://filesignatures.net/index.php?page=search&search=49443303000000&mode=SIG 이 파일은 audacity에서도 인식을 못해서 mp3파일로 바꿔 줍니다.https://www.online-convert.com/file-format/..

150pt In the mid 21st century, Ex-NASA pilot Cooper leaves his little daughter and goes an interstellar journey around the space to find an alternative planet (PLAN A) or to capture gravitational data and send it back to earth, which Scientists will use to save Earth. However Cooper finds himself stuck in a tesseract that spans across time, there is only one way he could transmit the data to his..

100ptMagic PNGs:Can you help me open this zip file? I seem to have forgotten its password. I think the image file has something to do with it. tryme.zip과 you_cant_see_me.png 파일이 주어지는데 아마 png에서 암호를 구해 압축을 푸는 문제일거 같습니다. 사진을 열어봤을때 눈에 띄게 이상한부분이 있습니다. 파일의 시그니처와 idat인데 둘을 89 50 4E 47 2E 0A 2E 0A -> 89 50 4E 47 0D 0A 1A 0Aidat -> IDATh4CK3RM4n 이 그대로 넣으면 비번이 틀려서 풀리지 않습니다.md5(h4CK3RM4n) = 2c919f82ee2ed69..