워게임200 [Disk] 복구된 키 이미지 파일의... ftk imager로 열었을 때 다음과 같이 파티션 3개 + recovered 파티션 1개가 나온다. hxd로 열었을때 partition table을 분석해보면 다음과 같다. partition 1 -> 0x07(NTFS) partition 2 -> 0x01(FAT 12) partition 3 -> 0x05(MS Extended) partition 4 -> empty hxd에서 이 값으로 검색하면 112767 섹터, 112896 섹터에서도 나온다. 그런데 112767섹터에 있는 것은 $MFT도 없고.. 정확히는 파악할 수 없지만 손상된 것 같다. partition table에 112896섹터에서 발견한 거로 맞게 채우면 된다... (귀찮아서 생략) 597eb84759c836cf9889e07770ffacf7.. 2021. 11. 17. [Disk] 인도의 Buszbee 마을 Busybox... + docker save, load, run, exec infected.tar unzip 다들 똑같은 구조다. docker save로 만들어진 이미지 tar 파일이구나! docker save로 만들어진 이미지 파일이니까, 다시 이미지를 생성하려면 docker load -i infected.tar 하면 busybox... 어쩌구 이미지가 생성된 것을 확인할 수 있다. sudo docker run -t -d --name busybox busybox-1.24.1-infected sudo docker exec -it 3a4bc79c2be1 sh cd bin ls -l 생성날짜가 다른 sha1sum 발견 cat sha1sum 마지막에 보이는 플래그... 0n3_n00b_ru1n5_0n3_hundr3d_pr05 ++++ docker run docker exec 하려고 .. 2021. 11. 17. [Disk] Find Key(ELF) 이것 참.. 어려운 문제.. ELF 파일이다. kali에서 strings chall.raw > str.txt 문제 파일 이름에서 python을 발견할 수 있으므로 python 코드를 뒤지다가 찾은 부분 (이걸 어떻게 찾는지가 의문이긴한데... chall로 검색해서 노가다때린듯) head str.txt -n 204683 | tail -4로 다시 한 번 확인하고 base64 인코딩된 값을 base64 디코딩한다. 디코딩한 결과 (ichall Challenge p0 (dp1 S'flag' p2 S'a639a21a4a74703fa042d617681aa44bb4d1c08bc5fbf7efd6b45582b0f0d403' p3 sS'id' p4 I0 sS'author' p5 S'Yggdrasil' p6 sb. S'fl.. 2021. 11. 17. [Disk] 범죄자는 자신의 인생을... foremost -t jpg FCCU_E.dd -> FCCU_E.dd에서 jpg 파일만 추출(앞 뒤의 이상한 값 ex. 0x00 같은 값을 잘라준다.) dd if=test.jpg count=3000 > result.jpg -> 3000 섹터만큼 복사해서 result.jpg 생성 dd if=test.jpg count=3000 skip=6000 >> result.jpg -> 6000섹터 위치부터 3000섹터만큼 복사해서 result.jpg에 덧붙임 dd if=test.jpg count=3562 skip=12000 >> result.jpg -> 12000섹터 위치부터 3562섹터만큼 복사해서 result.jpg에 덧붙임 md5sum result.jpg -> 답 난 처음에 hxd로 jpg 헤더 앞의 더미값을 다.. 2021. 11. 17. [Disk] 플래그를 얻고 싶지만 그럴 수 없다. MFT Header Entry의 Signature라는 것을 알 수 있다. 그렇다면, 섹터 2개로 되어있으니 MFT Entry가 맞겠군.... MFT Entry 분석을 통해서 attribute content를 알아낸다. MFT Entry 구조 MFT Entry - MTF Entry Header 구조 MFT Entry - Attribute Header 구조 resident flag로 판단됨. MFT Entry - resident flag의 attribute header 구조 MFT Entry Header - Attribute Type ID 값 80 -> $DATA attribute 찾기 5A -> attribute 내용 크기 18 -> attribute 내용 시작 위치 그래서 이미지 파일 내부 데이터가 아래.. 2021. 11. 16. [Disk] Please get my key back! ftk imager로도 안열리고.. hxd로 헤더 검색해도 아무것도 안나온다....... 그냥 data란다.... type=firmware라는 의미심장한 문자열,,, binwalk - 대표적인 펌웨어 분석 툴 - 펌웨어 분석 뿐만 아니라 포렌식 시 파일 카빙 등에 사용 할 수 있는 유용한 툴 [ 출처 : https://pororiri.tistory.com/entry/%ED%8E%8C%EC%9B%A8%EC%96%B4%EB%B6%84%EC%84%9D-%ED%8E%8C%EC%9B%A8%EC%96%B4-%EB%B6%84%EC%84%9D-%ED%88%B4-binwalk-%EC%82%AC%EC%9A%A9%EB%B2%95 ] Now, we know, this is a classical firmware file. So.. 2021. 11. 16. 이전 1 ··· 8 9 10 11 12 13 14 ··· 34 다음
