Capture The Flag
H4CKING GAME CTF(Digital Forensic-cat 120)
cat 문제입니다. cat.jpg 파일을 다운로드 할 수 있습니다. 문제 파일을 열어보면 위와 같은 그림을 확인할 수 있습니다. jpg 파일이기 때문에 GPS 값이 있나 확인을 해봤습니다. GPS 값이 존재했으나 지도에 검색을 해도 별 다른 정보를 획득할 수 없었습니다. 파일 카빙을 의도하는 문제인가 싶어서 hex 값을 봤습니다. JPG 파일의 footer signature 값인 FF D9 뒤에 16진수 값이 존재하는 것을 확인했습니다. 해당 16진수 값을 디코드하면 플래그를 획득할 수 있습니다.
H4CKING GAME CTF(Digital Forensic-Easy 100)
Easy 라는 문제입니다. easy.png 파일을 다운로드 할 수 있습니다. 파일을 열어보면 위와 같은 그림을 확인할 수 있습니다. 형태와 색깔을 보아하니 스테가노그라피 문제임을 예상했고 stegsolve 툴을 사용해서 분석해보기로 했습니다. Stegsolve.jar 파일을 실행합니다. easy.png 파일을 업로드하고 화살표를 눌러서 색상 값을 조절하다보면 QR 코드를 획득할 수 있습니다. 문제 파일에 QR 코드 이미지가 은닉되어 있었던 것입니다. 온라인 바코드 리더 사이트에서 QR을 해독할 수 있습니다.
H4CKING GAME CTF(Digital Forensic-art 150)
문제 설명은 위와 같습니다. 대충 램을 분석하라는 얘기인듯 합니다. 링크를 누르면 약 2GB 크기의 data.mp4라는 이름의 파일을 다운로드하게 됩니다. 해당 파일의 Hex 값을 보면 시작 부분에 데이터가 존재하지 않습니다. 스크롤을 좀 내리다보면 데이터가 보이는데 메모리 덤프 파일과 형태가 유사하여 확장자를 .dd로 변경하고 바로 볼라틸리티로 분석을 시작했습니다. .\volatility_2.6_win64_standalone.exe -f data.dd imageinfo imageinfo 플러그인을 사용하여 해당 메모리 덤프 파일의 프로필 정보를 획득했습니다. Profile : Win7SP1x64 .\volatility_2.6_win64_standalone.exe -f data.dd --profile=W..
2021 고등학생 사이버 보안 경진대회(Digital forensic - PartitionMan)
문제 소개 2021 고등학생 사이버 보안 경진대회에 출제했던 PartitionMan 문제 제작에 대해 포스팅해보겠습니다. 문제 이름 : PartitionMan 문제 기술 : 파티션을 복구하고 플래그를 찾으시오. ADCTF{FLAG} 문제 분야 : Digital forensic 문제 의도 BR과 BR 백업본이 모두 없을 때 FAT32 BR을 복구할 수 있는가? BR과 BR 백업본이 모두 없을 때 NTFS BR을 복구할 수 있는가? PowerShell Log 가 저장되는 경로를 알고 있는가? BR과 BR 백업본이 모두 없어 파티션이 인식되지 않는 이미지 파일을 제공해주고 파티션을 복구한 뒤 파워쉘 로그를 확인하면 플래그를 얻을 수 있도록 의도한 문제입니다. 단순 파티션 복구는 기존에 많이 다뤄진 유형이라 B..
2021 고등학생 사이버 보안 경진대회(Digital forensic - Tell me your wish)
문제 소개 2021 고등학생 사이버 보안 경진대회에 출제했던 Tell me your wish 문제 제작에 대해 포스팅해보겠습니다. 문제 이름 : Tell me your wish 문제 기술 : 시스템의 사용자는 무언가를 굉장히 원하고 있다. 사용자의 소원을 들어주도록 하자. ADCTF{FLAG} 문제 분야 : Digital forensic 문제 의도 인터넷 기록을 분석할 수 있는가? 시스템 복원 기능에 대해 알고 있는가? 실행 파일 구조에 대해 이해하고 있는가? 시스템 복원 기능을 사용하면 플래그를 얻을 수 있도록 의도한 문제입니다. 참가자들이 시스템 복원 기능을 어떻게 떠오르게 만들까 고민을 하다가 시스템 복원 기능을 사용하면 과거의 시점으로 돌아갈 수 있다는 점에서 시간 여행을 착안하게 되었고 문제 파..
2021 고등학생 사이버 보안 경진대회(MISC - Image Challenge)
문제 소개 2021 고등학생 사이버 보안 경진대회에 출제했던 Image Challenge 문제 제작에 대해 포스팅해보겠습니다. 문제 이름 : Image Challenge 문제 기술 : 그림 파일을 분석하고 플래그를 획득하라. ADCTF{FLAG} 문제 분야 : MISC 문제 의도 바코드 데이터를 분석할 수 있는가? jpg 파일의 GPS 데이터를 분석할 수 있는가? 파일 카빙 기술을 사용할 수 있는가? 문제 설계 이번 문제는 그림 파일을 분석해서 해결할 수 있도록 설계를 했습니다. 총 3가지 단계를 구성하여 각각 다른 컨셉의 문제를 풀도록 유도했습니다. 위와 같은 방식으로 문제 파일의 압축을 풀면 압축 파일 3개가 나오는 방식으로 만들었고 1번 문제를 제외한 2번, 3번 파일은 비밀번호를 걸어서 이전 단계..
2021 INCOGNITO CTF(Forensic-data_collector 490)
data_collector.zip 파일이 주어집니다. 공격자가 원격데스크톱으로 접근한 후 사용한 도구의 파일명과 파일의 해시 값을 구하는 문제입니다. 압축을 해제하면 위와 같은 파일들이 존재하는 것을 확인할 수 있습니다. 윈도우즈 환경의 파일들임을 알 수 있습니다. 저는 먼저 원격데스크톱 연결을 시도했다고 했기 때문에 이벤트 로그를 확인해봤습니다. 그런데 이벤트로그에 남아있는 데이터가 하나도 없었습니다. 그러다 문득 문제에서 실행 프로그램의 파일과 해시값을 구하라는 말을 보고 암캐시가 생각났습니다. 얼마전에 암캐시를 분석할 일이 있어서 구조가 어떻게 되어 있는지 본 적이 있는데 그 때 실행 파일 정보와 해시값을 기록해둔다는 사실이 기억났습니다. Eric Zimmerman의 AmcacheParser를 사용..