본문 바로가기

워게임/hackCTF6

[forensic] Let'S get it ! Boo*4 bmp 파일 (kali) gem install zsteg 2021. 11. 23.
[forensic] Terrorist jpg 파일이 하나 다운받아지는데 hxd로 열어보면 jpg가 아니다. 헤더로 검색해보니까 이렇게 나와서 mp4로 변환했더니 이상한 소리가 들린다. 그래서 역재생하려고 online converter에 넣어봤더니 파일 타입이 안맞는단다. 그래서 ftypM4A로 다시 검색하니까 m4a가 나온다. 혹시나해서 m4a로 확장자를 바꿔 해보니까 된다. 음성을 들으면 플래그를 알 수 있다. 의문 헤더로 검색하면 mp4가 맞지 않나?? 왜 안되는걸까>.... 2021. 11. 23.
[forensic] Magic PNG png 파일이 하나 주어지는데, 헤더가 손상된 것을 확인할 수 있다. 헤더를 정상적으로 수정 후 열어주면 다음과 같이 잘린 사진을 볼 수 있다. 이 문제는 png의 구조를 알아야 풀 수 있는 문제다. idat -> IDAT 로 바꿔주면 해결된다. HackCTF{c@n_y0u_$ee_m3?} 이 문제 해결에 필요한 간단한 PNG 구조 개념 PNG = 파일 시그니처(header, footer) + Chunk들의 집합 header, footer는 그냥 검색만 하면 나오고, 대충 개념은 알기 때문에 넘어간다. 그럼, Chunk란? - 공통된 데이터를 갖고 있는 데이터들의 집합 - 중요 청크 : 첫 글자가 대문자(IHDR, IDAT, PLTE, IEND) - IHDR, IDAT, IEND -> PNG 파일에 반드.. 2021. 11. 23.
[forensic] 나는 해귀다 주어진 png 사진 한 장 hxd로 열면 png 헤더가 있다. png 푸터를 찾아봤다. 여기서 바로 뒤에를 보면 푸터가 뒤집어져있는 것을 확인할 수 있다. 또한 스크롤을 맨 아래로 내려 확인해보면 png 헤더가 뒤집어져있는 것을 확인할 수 있다. 그럼 이 부분을 드래그해서 뒤집으면 새로운 png가 하나 나오겠다. 뒤집는 코드 f = """82 60 42 ... """ data = f.split(' ') r_data = ' '.join(reversed(data)) print(r_data) 해당 결과값을 hxd에 넣고 저장하면 다음과 같이 뒤집어진 플래그 등장 2021. 11. 23.
[forensic] 세상에서 잊혀진 날 찾아줘! 주어진 파일 : pdf pdf를 열어보면 사진이 하나 첨부되어있다. jpg, png 중 하나겠지 pdf는 사진 파일을 원본 그대로 삽입해 놓는 형식으로 관리를 한다.(?) 대충 무슨 소리냐면 jpg 파일이 들어가면 jpg헤더부터 푸터까지 데이터가 들어가 있다는 뜻이다. . . https://c0wb3ll.tistory.com/entry/HackCTF-Forensics-Writeup-%EC%84%B8%EC%83%81%EC%97%90%EC%84%9C-%EC%9E%8A%ED%98%80%EC%A7%84-%EB%82%A0-%EC%B0%BE%EC%95%84%EC%A4%98 png 헤더는 검색하면 안나온다. jpg 헤더(ff d8), 푸터(ff d9)로 검색했더니 값이 나왔고, 그 부분을 드래그해서 delete한다... 2021. 11. 23.
[forensic] So easy? 주어진 파일 하나 hxd로 까보면 플래그 하나를 볼 수 있는데, 페이크다. binwalk - 펌웨어 분석 툴 - 분석, 리버싱, 데이터 추출 기능 - 특정 파일에 어떤 파일이 포함되어있는지 확인할 수 있다. jpeg 말고 zip이 하나 있다는 것 같음 foremost - 데이터 복구를 위한 카빙 툴 - 알 수 없는 파일이나 무언가 합쳐진 것 같은 파일을 분리할 때 사용 그렇게 나온 output 폴더를 잘 들어가보면 플래그가 있다. 2021. 11. 23.

티스토리툴바