CHIqueen

We know that the account was logged in to a channel called Lunar-3. what is the account name? format: CTF{flag} Lunar-3채널에 접속해 있는 게임 계정의 이름을 묻고 있습니다. vol.py -f OtterCTF.vmem --profile=Win7SP1x64 memdump -p 708 -D ./ $ strings 708.dmp | grep Lunar-3 -A 3 -B 3 // 위로 3줄 아래로 3줄 추가 출력 c+Yt tb+Y4c+Y b+YLc+Y Lunar-3 Lunar-4 L(dNVxdNV L|eNV -- disabled mouseOver keyFocused Lunar-3 0tt3r8r33z3 Sound/UI.i..

Rick just loves to play some good old videogames. can you tell which game is he playing? whats the IP address of the server? format: CTF{flag} 게임 이름과 게임 서버의 ip를 알아내시면 됩니다. vol.py -f OtterCTF.vmem --profile=Win7SP1x64 netscan 0x7d6124d0 TCPv4 192.168.202.131:49530 77.102.199.102:7575 CLOSED 708 LunarMS.exe CTF{LunarMS}, CTF{77.102.199.102}

Let's start easy - whats the PC's name and IP address?format: CTF{flag} 컴퓨터의 이름과 IP를 알아내면 됩니다.vol.py -f OtterCTF.vmem --profile=Win7SP1x64 printkey -K 'ControlSet001\Control\ComputerName\ComputerName'CTF{WIN-LO6FAF3DTFE} vol.py -f OtterCTF.vmem --profile=Win7SP1x64 netscanCTF{192.168.202.131}

you got a sample of rick's PC's memory. can you get his user password? format: CTF{...} 메모리에서 비밀번호를 얻어내면 됩니다. 1. vol.py -f OtterCTF.vmem --profile=Win7SP1x64 mimikatz2. rekall -f OtterCTF.vmem mimikatz CTF{MortyIsReallyAnOtter}

python 2버전에서 .py를 .exe로 바꿔보고 .exe를 .pyc로 .pyc를 .py로 바꿔보는 삽질을 정리해 보겠습니다. 먼저 pyinstaller는 빠른 손절이 필요합니다. python 2버전을 지원하지 않습니다. python 3버전으로 pyintaller를 설치해 2버전 소스코드를 exe로 만들 수는 있지만 pip로 따로 설치한 라이브러리는 포함되지 않습니다. 설령 성공했다해도 버전 오류가 펑펑 터질 겁니다. 블로그 보면서 pyinstaller를 2버전에서 성공한것을 보고 버전을 낮춰보면서 설치해보고 돌려봤지만 그놈의 builtins때문에 절대 설치를 못합니다 pyintaller를 돌리려면 코드를 3버전 기준으로 작성해 주세요 우리는 py2exe를 사용할겁니다.http://www.py2exe...

I found this super suspicious transmission lying around on the floor. What could be in it? 먼저 패킷 파일을 열어보면 FTP통신하는것을 볼 수 있는데요 한번 봅시다. TCP Stream을 통해 보면 key.zip파일을 받은것을 볼 수 있습니다. PK 압축파일을 찾았습니다. RAW데이터로 바꿔서 Save해줍니다. 압축을 풀어서 보면 pem파일이 있는데요 개인키가 담겨있습니다. 이 개인키로 SSL패킷을 decrypt해 줍니다 Edit > Preference > Protocol > SSL 에서 RSA keys list를 수정해 줍니다. 그 다음 flag.jpg를 다운받는 패킷을 SSL Stream으로 열어보면 TJCTF{WIRESHARK_..

My computer seems to be running quite slow these days. I probably downloaded a virus or something. Luckily I was able grab some stuff off it before it crashed.Edit: Please submit the md5 hash of the entire, lowercased flag (including tjctf{}) instead of actually submitting the flag. 먼저 imageinfo를 통해 profile을 확인해 줍니다.(솔직히 저는 문제 풀때는 kdbgscan을 주로 사용합니다.) 그 다음 pstree로 프로세스를 확인해 봅니다. 크롬이랑 파이썬이 실행중이 었..

That sure was a wild night at the old tavern.Good thing someone was able to draw the scene for us to remember.But the more I look at the picture, the more it seems that something isn't quite right... -=Created By: matg=- 이 문제는 두가지 방법으로 풀 수 있습니다. https://29a.ch/photo-forensics/#forensic-magnifier에서 확대기로 확대하면 flag가 보이구요 stegsolve에서 돌리다보면 글자가 나옵니다. flag{w0ah_5uch_53cr3t_m355ag3}

======= Difficulty level : Medium ======== A number station in Russia broadcasted a series of encoded messages to one of it's intelligence agency. We have been able to get a piece of that message along with a picture hidden by one of the spy. Decode the transmitted data and be a hero!! Link : https://goo.gl/JQTKXA ========== Authors : cr4ck3t ========== 문제 파일을 보면 index.png와 new.mp3가 있습니다.mp3파일을 ..

======= Difficulty level : Easy ======== A harmful ransomware script encrypted my precious text and hid it somewhere. I was going through some old photos when this incident happened. Luckily I was able to dump the memory as soon as I noticed something suspicious. Can you retrieve my data? Chall Link : https://goo.gl/uKLdkf ========== Authors : stuxn3t, cr4ck3t ========== 메모리 덤프파일이 주워 집니다.우선 이미지 ..