Notice
Recent Posts
Recent Comments
Link
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
Tags
more
Archives
Today
Total
관리 메뉴

목록포렌식 (48)

CHIqueen

Pragyan CTF 2019 Welcome

50pt Do you think this is a normal image? No! Dig deeper to find out more..... 파일은 jpeg 파일이다. hxd로 열어보자 PK 시그니처 압축파일인것 같다. 추출해 압축을 풀어주면 a.zip과 secret.bmp가 나오는데 a.zip은 암호가 걸려있다. secret.bmp에서 압축 비밀번호를 얻어야 할거 같은데 사진을 열어보면 지원하지 않는 파일이라한다.이것도 hxd로 열어보자 b= 하고 base64가 보인다. 풀어보면the password is: h3110_th3r3! 라고 알려준다. 또 그냥 도형만 그려진 사진이 나온다. stegsolve로 한번 돌려보자 pctf{st3gs0lv3_1s_u53ful}
포렌식/CTF 2019. 3. 17. 05:54
최근 실행 흔적 찾기

작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..
포렌식/Analysis 2018. 12. 19. 08:36
OtterCTF 2018 Otter Leak

We found out that one of the Otters been leaking information from our network! Find the leaked data. 패킷을 보다보면 SMB프로토콜을 많이 볼 수 있습니다 모두 저장을 해줍니다. 파일을 열어보면 전부 한글자씩 나눠 저장 되어 있습니다. 한번 다 출력 시켜 봅니다 LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0= base64 decode해줍니다 무스부호 같이 생겼네요 CTF{M0R5EOT73RINB64}
포렌식/CTF 2018. 12. 14. 21:59
OtterCTF 2018 Birdman's Data

We recorded some of BirdMan's networking, but a part of it (the important part) got scrambled. 패킷을 보다보면 txtwizard.net에서 텍스트를 암호화한 패킷을 볼 수 있습니다. AES에 CBC모드로 PKCS5 패딩으로 암호화를 진행하였습니다. 우리는 key값 IV값 그리고 암호문을 얻으면 복호화를 할 수 있습니다. 그리고 Accept를 json으로 받았으니 json을 검색해 봅니다. 각각에 key, IV, ciphertext가 들어 있습니다. Key: XfCtxvD1yFZbxQ/+ULhAcA==, IV: sEhrZxQpnNnINixu3KQ1Tg==, cipherText: qKOtD3sK0WMMbAkIKach40aXJpNSz+..
포렌식/CTF 2018. 12. 14. 21:39
OtterCTF 2018 Closure

Now that you extracted the password from the memory, could you decrypt rick's files? vmware-tray.exe에서 pdb정보를 찾아봅니다. $ strings executable.3720.exe | grep pdbC:\Users\Tyler\Desktop\hidden-tear-master\hidden-tear\hidden-tear\obj\Debug\VapeHacksLoader.pdb 경로를 보면 hidden-tear라고 하는 https://github.com/goliate/hidden-tear 랜섬웨어를 찾을 수 있습니다. 다행히도 decrypter도 같이 있습니다. 하지만 무엇을 복호화를 해야될까요? 0x000000007e410890 1..
포렌식/CTF 2018. 12. 14. 17:43
OtterCTF 2018 Recovery

Rick got to have his files recovered! What is the random password used to encrypt the files? 랜섬웨어에서 password관련 함수들을 찾아보면 CreatePassword()와 SendPassword(), startAction()이 있습니다. public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilder(); Random random = new Random(); while (0 < length--) { stringBuilder.Append("abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1..
포렌식/CTF 2018. 12. 14. 16:48
OtterCTF 2018 Graphic's For The Weak

There's something fishy in the malware's graphics. CTF{S0_Just_M0v3_Socy}
포렌식/CTF 2018. 12. 14. 15:20
OtterCTF 2018 Bit 4 Bit

We've found out that the malware is a ransomware. Find the attacker's bitcoin address. 먼저 프로세스를 덤프 떠줍니다. $ vol.py -f OtterCTF.vmem --profile=Win7SP1x64 procdump -p 3720 -D ./ Volatility Foundation Volatility Framework 2.6 Process(V) ImageBase Name Result ------------------ ------------------ -------------------- ------ 0xfffffa801a4c5b30 0x0000000000ec0000 vmware-tray.ex OK: executable.3720.exe ..
포렌식/CTF 2018. 12. 14. 15:14
OtterCTF 2018 Hide And Seek

The reason that we took rick's PC memory dump is because there was a malware infection. Please find the malware process name (including the extension) BEAWARE! There are only 3 attempts to get the right flag! 3번의 기회를 주고 악성 프로세스의 이름을 찾으라 합니다. 먼저 프로세스 목록을 봅시다. Name Pid PPid Thds Hnds Time -------------------------------------------------- ------ ------ ------ ------ ---- 0xfffffa801b27e060:explore..
포렌식/CTF 2018. 12. 14. 14:51
OtterCTF 2018 Silly Rick

Silly rick always forgets his email's password, so he uses a Stored Password Services online to store his password. He always copy and paste the password so he will not get it wrong. whats rick's email password? 이메일 비밀번호를 복사해서 붙여 넣는다고 합니다. 그러면 클립보드에 저장되어 있을테니 클립보드를 떼봅시다. $ vol.py -f OtterCTF.vmem --profile=Win7SP1x64 clipboard Volatility Foundation Volatility Framework 2.6 Session WindowStation ..
포렌식/CTF 2018. 12. 14. 14:33
Prev 1 2 3 4 5 Next