이제 마지막 문제인 20번째 문제이다. 전에 풀어보려다가 실패를 해서... bof 공부를 다시 하고 마지막으로 풀어보았다 20번 문제 문제 : Download 링크를 누르면, 'reverseme.zip'이라는 파일이 받아지고, 압축을 풀면, reverseme라는 파일이 나온다. 해당 파일을 [ Exeinfo PE ] 와 [ HxD ] 에서 열면 아래와 같은 정보가 나온다. ELF 파일이다. 윈도우에 EXE 파일이 있듯이, ELF 파일은 리눅스에서 돌아가는 파일이다. 그래서 Ollydbg, 32xdbg 같은 디버깅 프로그램으로는 열리지 않는다. 리눅스에서 reverseme 파일을 실행하면 아무런 반응이 없다. gdb 와 IDA 프로그램으로 해당 파일을 분석해 보았다. main 함수 구조 auth 함수 구조..
27번 문제 문제 : 번역 : NSA에서 IRC 서버로부터 마피아 조직원들 간에 채팅을 가로챘다. 수사관들은 해당 메시지에 어떤 비밀이 숨어져 있다고 확신했지만, 어떤 단서도 찾지 못했다. 당신의 임무는 NSA 수사관을 도와 이 메시지의 비밀을 밝히는 것이다. 해당 문제에서 down 링크를 누르면 message.txt 파일이 열린다. Pruss is my name. I am a member of russian mafia group. we communacate via a secure channel with secure password like.. $A$"4kruss password has to be long and it should contain alphabet, number, etc. I added 'r..
31번 문제 문제 : [ down ] 버튼을 누르면 pdf파일이 다운 받아진다. Hello_SuNiNaTaS.pdf 파일을 열면 "Hello, Nice to meet you. Do you wanna get a Key?"라는 문구가 나온다. 그 외에는 특별한 것이 없다. 문제가 'Forensic'의 한 종류이고, 제목이 'PDF Analysis'인 것을 보니, 문제를 풀기 위해서는 pdf를 분석해야 하나 보다. 이 문제를 풀기 위해 pdf 구조에 대해서 공부한 내용이다. 링크 주소 : 2023.01.27 - [포렌식] - [포렌식] PDF 파일 구조 공부한 내용을 간단히 요약하자면, PDF는 Header, Body, Cross Reference Table, Trailer로 구성되어 있다. Header 8 ..
엄청 오랜만에 suninatas에 있는 남아저 문제를 풀어 보았다. 이제 20번, 27번, 31번, 32번 문제가 남았다. 32번 문제 문제를 해결하기 위해서 했던 과정을 작성해서 문제와 상관없는 내용이 있을 수도 있습니다. 문제 : 문제를 풀기 위해서 해결해야 할 사항 : USB 이미지 파일의 손상된 부분을 인식할 수 있도록 수정해야 함. 우선, 파일을 다운로드한다. 해당 파일을 [ HxD ] 프로그램으로 열어보았다. 뭐가 잘못되었는지 모르겠다 ㅠㅠ USB 이미지를 열기 위해서 포렌식 도구인 "FTK Imager"을 다운로드해 본다. https://www.exterro.com/ftk-imager FTK Imager - Exterro Quickly assess electronic evidence by o..
30번 문제 문제 : 메모리 덤프를 보기 위해서는, volatility라는 툴을 사용해야 한다. 다운로드 링크 : https://www.volatilityfoundation.org/ The Volatility Foundation - Open Source Memory Forensics The Volatility Foundation is an independent 501(c) (3) non-profit organization that maintains and promotes The Volatility memory forensics framework. www.volatilityfoundation.org pyhton3이 PC에 설치되어 있어서 최신 버전인 Volatility 3 버전을 다운받아서 설치했다. 압축..
29번 문제 문제 : 다운로드 받아서 해당 윈도우 이미지를 열게 되면, 컴퓨터가 종료되려고 하는데 그걸 멈추면 다음과 같은 화면이 뜬다. 우선 1번 문제 Q 1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. - 네이버에 접속한 결과 : - 이렇게 올바른 url을 입력해도 다른 사이트를 위조하는 것은 hosts 파일이 잘못된 경우이다. * hosts 파일은 ip 주소와 도메인을 매핑해주기 때문.. 해당 파일의 위치 : C:\Windows\System32\drivers\etc hosts 파일을 열면, 키가 보인다. what_the_he11_1s_keey 2번 문제 2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자) ..
21번 문제 문제 : 해당 사진을 보면 자 밑에 키가 적혀 있는데 그림 때문에 글자가 가려져 있다. 지금 보이는 글자를 적어보면, Soulution Key H4●●●●●●N_TH3_MIDD33_4TT4CK 위의 사진을 다운 받고 HxD를 통해 확인을 하면 jpg의 파일 시그니처인 FF D8 FF로 시작하는 jpg 파일로 확인이 가능하다. HxD 코드를 보다 보면 JPG File Signature로 시작되는 부분이 또 있다. 즉! 여러 개의 파일이 겹쳐있는 거다. FF D8 FF로 시작하는 다음 부분을 복사해서 새로 만들게 되면, 이렇게 새로운 사진이 나온다. 이제 아까 보이지 않았던 글자들이 보이게 된다. Soulution Key H4●●●●●●N_TH3_MIDD33_4TT4CK 에서 보이지 않았던 부분..
28번 문제 문제 : down 링크를 누르면, So_Simple.zip 파일이 받아진다. 압축 폴더 안에는 3개의 파일이 들어 있다. 암축을 해제하려고 하면, 암호가 필요하다. Am_I_key... 내가 키? Thanks to 'heizelnet' 입력해보았는데 아니다. 문제를 보면 brute force 공격은 할 필요없다고 되어있다. (사실 숫자는 5자리까지 해보았는데 아님) 간단한 거 같은데 뭘까... [ 인고의 시간 ] 이것저것 시도해 보았는데 안됐다. 그래서 해당 문제 풀이 앞에만 슬쩍 봤다... zip 파일 구조를 알아야 하는 문제였다! 그래서 구글링을 통해서 ZIP 파일 구조에 대해서 공부를 했다. 해당 내용을 정리한 건 바로 전 글에 작성했다. - 링크 : 2022.06.17 - [포렌식] ..
