전체 글345 [forensic] G&P List 엄청 쉬운 문제다. 풀이1 strings.exe로 풀 수 있다. 풀이2 word와 zip의 파일 구조가 똑같다는 것을 알고 있다. 때문에 word 확장자를 zip으로 바꿔서 열어보면 다음과 같이 flag.txt를 볼 수 있다. 2021. 11. 22. [forensic] cypher-anxiety 문제 An image was leaked from a babies store. the manager is so annoyed because he needs to identify the image to fire charges against the responsible employee. the key is the md5 of the image 이미지가 유출되었다. 담당 직원을 고소하기 위해서 이미지를 identify해야 한다. image의 md5값을 알아내라 주어진 파일 .pcap 파일 환경 kali Wireshark 이렇게 계속 패킷을 살펴보다보면, 주고받은 데이터는 다음과 같다. Hey bro Sup supp, are we ready yeah, u got the files? yes but i think .. 2021. 11. 22. [Disk] 복구된 키 이미지 파일의... ftk imager로 열었을 때 다음과 같이 파티션 3개 + recovered 파티션 1개가 나온다. hxd로 열었을때 partition table을 분석해보면 다음과 같다. partition 1 -> 0x07(NTFS) partition 2 -> 0x01(FAT 12) partition 3 -> 0x05(MS Extended) partition 4 -> empty hxd에서 이 값으로 검색하면 112767 섹터, 112896 섹터에서도 나온다. 그런데 112767섹터에 있는 것은 $MFT도 없고.. 정확히는 파악할 수 없지만 손상된 것 같다. partition table에 112896섹터에서 발견한 거로 맞게 채우면 된다... (귀찮아서 생략) 597eb84759c836cf9889e07770ffacf7.. 2021. 11. 17. [Disk] 인도의 Buszbee 마을 Busybox... + docker save, load, run, exec infected.tar unzip 다들 똑같은 구조다. docker save로 만들어진 이미지 tar 파일이구나! docker save로 만들어진 이미지 파일이니까, 다시 이미지를 생성하려면 docker load -i infected.tar 하면 busybox... 어쩌구 이미지가 생성된 것을 확인할 수 있다. sudo docker run -t -d --name busybox busybox-1.24.1-infected sudo docker exec -it 3a4bc79c2be1 sh cd bin ls -l 생성날짜가 다른 sha1sum 발견 cat sha1sum 마지막에 보이는 플래그... 0n3_n00b_ru1n5_0n3_hundr3d_pr05 ++++ docker run docker exec 하려고 .. 2021. 11. 17. docker save, load ctf-d를 풀다가 docker save라는게 있다는 것을 알게 되었다. docker save -o .tar - docker image를 tar로 추출 - docker save로 추출된 이미지는 순수 docker image와 동일한 것이다. - docker image를 조작하지 않고 단순히 또 다른 환경으로 이관하기 위한 용도로 사용할 수 있다. - docker image는 일반적으로 docker hub와 같은 docker registry에서 공유한다. - 하지만 일반적이지 않은 상황에서 docker registry를 사용할 수 없는 경우 docker image를 tar파일로 만들어 공유할 수 있다. save된 파일이 infected.tar tar -xvf infected.tar 한 결과가 첫 ls의 결.. 2021. 11. 17. [Disk] Find Key(ELF) 이것 참.. 어려운 문제.. ELF 파일이다. kali에서 strings chall.raw > str.txt 문제 파일 이름에서 python을 발견할 수 있으므로 python 코드를 뒤지다가 찾은 부분 (이걸 어떻게 찾는지가 의문이긴한데... chall로 검색해서 노가다때린듯) head str.txt -n 204683 | tail -4로 다시 한 번 확인하고 base64 인코딩된 값을 base64 디코딩한다. 디코딩한 결과 (ichall Challenge p0 (dp1 S'flag' p2 S'a639a21a4a74703fa042d617681aa44bb4d1c08bc5fbf7efd6b45582b0f0d403' p3 sS'id' p4 I0 sS'author' p5 S'Yggdrasil' p6 sb. S'fl.. 2021. 11. 17. 이전 1 ··· 20 21 22 23 24 25 26 ··· 58 다음
