보안을 그리다, 훈이

[MISC] XCZ.KR PROB20_Bonus Problem! 50점짜리 보너스 문제이다. 문제의 사진을 다운로드하고 메타데이터를 살피기 위해 exiftool을 사용하였다. > exiftool image.jpeg Flag : tagtagtagDETAIL

[Network] XCZ.KR PROB17_Password Recover... 문제를 보니 ZZANGHACKER의 XCZ.KR 사이트 비밀번호를 복구하라고 한다. 먼저, my_pw.pcapng 파일을 다운로드하고 열어보자. 무수히 많은 패킷이 출력되는데, ZZANGHACKER의 비밀번호를 찾아야 하므로 조건에 맞게 필터링해야 한다. > http contains IMZZANGHACKER 출력된 5개의 패킷 중 1개는 join_ok.php 관련 패킷이고 나머지는 login_ok.php 관련 패킷이다. login_ok.php 패킷에는 ZZANGHACKER가 로그인 실패한 기록들이 담겨져 있을 것이고, 회원가입 기능으로 추정되는 join_ok.php에는 ZZANGHACKER가 회원가입 시 설정한 비밀번호 정보가..

[Network] XCZ.KR PROB13_Network Recovery! 문제 파일 network_recover를 다운로드하고 실행해보니 열리지 않는다. Hex Viewer를 통해 파일 시그니처를 확인해보니 PCAPNG 파일의 시그니처인 0A 0D 0D 0A가 보인다. 따라서 해당 파일을 network_recover.pcapng로 변경한 후 Wireshark로 열어보자. Protocol Hierarchy Statistics를 보니, HTTP로 송수신한 패킷들과 Malformed Packet이 눈에 띄었다. http로 필터링해보자. index.html, treasure1, treasure2, treasure3 파일을 송수신한 패킷들을 확인할 수 있다. treasure1 파일의 HTTP Stream을 보면..

[Forensics] XCZ.KR PROB7_Do you know this file? 문제 파일을 다운로드하니 what.eps라는 이름의 흐릿한 파일이 나타났다. EPS 파일은 처음 보는터라 검색해보니, EPS는 Encapsulated PostScript의 약식입니다. Adobe는 1992년에 이 표준 그래픽 파일 형식을 만들어 그림과 이미지를 PostScript 문서에 넣었습니다. 즉, 하나의 파일로 저장되는 포스트 스크립트 프로그램입니다. 또한 그 안에 저해상도 그래픽의 미리보기가 포함되어 있습니다. 이러한 저해상도 미리보기를 통해 내부 스크립트를 편집 할 수 없는 프로그램에서 액세스 할 수 있습니다. 게시자는 이 파일이 여러 운영 체제에서 호환되므로 널리 사용합니다. 라고 한다. 필자는 위 그림과 ..

[Forensics] XCZ.KR PROB1_End Of Image 문제 이름이 이미지의 끝인 것을 보아 푸터 시그니처 부분에 해답과 관련된 정보가 존재할 확률이 크다. 먼저, 해당 PNG 파일을 다운로드하고 Hex 값을 살펴보자. PNG 파일의 푸터 시그니처 뒷부분을 보니, JPEG 파일의 헤더 시그니처인 FF D8 FF E1이 존재한다. 해당 JPEG 파일을 카빙하기 위해 곧바로 binwalk 툴을 돌렸다. > binwalk -D 'jpeg image:jpeg' prob1.png Flag : JOg-dragonKER

[T3N4CI0US CTF] Forensics - Secret Secret.png 파일을 다운로드하고 실행해보니 열리지 않는다. 무엇이 문제인지 Hex Editor로 열어보자. 상단을 보니 헤더 시그니처가 정상적으로 정의되어 있지 않고 00 값으로 채워져 있다. PNG 확장자의 푸터 시그니처인 49 45 4E 44 AE 42 60 82는 정상적으로 채워져 있는 것을 보아 헤더 시그니처인 89 50 4E 47 0D 0A 1A 0A를 넣어주었다. 복구한 파일을 열어보니 위와 같이 플래그는 보이지 않고 회색이 출력되었다. 스테가노그래피인 것 같아 StegSolve 툴을 돌려보니 아래와 같이 플래그가 나타났다. Flag : CTF{2022_02_01}

N0Named Wargame Forensics 분야 123321123(200p) 문제에 대한 Write Up입니다. fore5.png 파일을 다운로드하고 hex 값을 뒤져보니 내부에 무수히 많은 PNG 파일이 숨어있었다. 위 그림과 같이 hex 값이 뒤집힌 채로 존재하는 경우도 다반사였다. 따라서, 뒤집힌 파일들의 hex 값들을 복구하고 플래그를 찾으면 될 것 같다. 먼저 fore5.png 파일의 hex 값을 추출하여 fore5.txt에 저장한 후, 이를 byte 단위로 뒤집어 Hex_reverse_fore5.txt에 저장해 두었다. 파일에 hex 데이터를 쓰기 위해 Python3로 아래 코드를 작성하였고, # Writing hex data into a file - 파일에 16진수 데이터 쓰기 impor..

N0Named Wargame Forensics 분야 Left Side B(140p) 문제에 대한 Write Up입니다. 문제 이름에 힌트가 있다고 하는데 보자마자 LSB(least significant bit, 최하위 비트) 관련 문제라고 생각했다. LSB 변조를 통한 스테가노그래피 기법은 대표적으로 24bit 이미지 파일인 JPEG와 BMP 파일에 적용된다. 이 기법은 실제 이미지에 영향을 주긴 하지만, 24bit가 하나의 색을 표현하기 때문에 영향력이 큰 MSB(Most Significat Bit)와 달리 LSB가 변조되어도 사람의 눈으로 알아채기 힘들고 Hex Editor를 통해 분석해보면 알 수 있는 정도이다. task.bmp 파일의 hex 값을 살펴보면, 무수히 많은 FF 사이에 FE가 섞여있는..

N0Named Wargame Forensics 분야 길에서 주어온 만두(100p) 문제에 대한 Write Up입니다. mandu.zip 파일을 다운로드하고 압축을 해제해보니 big.png와 readme.txt 파일이 출력된다. 비밀번호를 찾아 마트료시카 이미지 파일을 까보라는 듯 하다. 먼저, big.png 파일의 hex 값을 뒤져보자. PNG 푸터 시그니처 뒷 부분에 PASS:1234가 나오는데, 이는 비밀번호로 추정된다. OpenStego 툴을 사용하여 까보도록 하자. medium.png가 추출된다. 계속 돌려보면 small.png가 추출되고 이후 flag.zip 파일이 나온다. Flag : NND{Matryoshka_&&_OPENSTEGO!>.

N0Named Wargame Forensics 분야 어제 뭐 했어?(100p) 문제에 대한 Write Up입니다. yesterday.pcap 파일을 다운로드하고 Wireshark로 열어보니 무수히 많은 패킷이 출력된다. 먼저, http로 필터링해보니 아래와 같이 쓸만한 패킷들이 나온다. [Follow] - [HTTP Stream]을 통해 패킷을 열어보자. download.php 페이지 소스 코드를 보니 music.zip 파일의 pw가 나와있다. 이제 music.zip 파일을 찾고 복원해보자. PK로 시작하는 것을 보니 압축 파일인 것을 알 수 있고, 내부에 flag.txt와 haru.jpg 파일이 함께 존재할 것으로 예상할 수 있다. music.zip을 추출한 후, pw인 'N0Named_Team_is_..