| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- Whitespace Programming
- 암호학
- strcmp 취약점
- forensic
- steghide
- 네트워크
- QR코드
- xcz
- Python
- union sql injection
- zap 파일
- volvolatility
- DOS
- CSV Injection
- LifterLMS
- scapy
- Wordpress
- 스테가노그래피
- 포렌식
- zip 파일 구조
- 취약점 진단
- 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드
- ctf-d
- 보고서
- Stored Cross-Site Scripting
- CVE
- Import/Export Wordpress Users
- multimedia
- reversing
- wargame.kr
- Today
- Total
목록포렌식 (26)
광팔이 보안이야기
[xcz.kr] 28번 Rendezvous
파일을 다운로드하면 contact.pcap 파일을 다운로드할 수 있다. pcap 파일을 보고 ip / 포트 / 키 를 찾아야 겠다. pcap 파일을 열기 위해 NetworkMiner을 사용했다. 파일을 살펴보다 Chat.exe 파일을 발견했다. xcz.kr(1.234.80.148)에서 192.168.0.123이 Chat.exe 파일을 다운로드한 것을 볼 수 있다. 이제 192.168.0.123을 보면 MAC OS(14.40.84.156)에서 통신이 들어온 것을 볼 수 있다. 여기서 패킷의 통신을 찾아보려 했지만 networkminer에서는 안 보는데 whwireshark에서는 보인다... 이유를 모르겠다... 진짜 삽질 많이 했는데 이래서 wireshark가 정말 좋다고 하는 건가... 이제 wiresh..
[xcz.kr] 27번 XCZ Company Hacking Incident
파일을 다운로드하면 prob27.7z 압축 파일을 할 수 있다. 압축을 풀면 하드디스크의 정보들이 들어있다. FTK Imager을 이용해 열어보자. 내부에 기밀문서를 유출하는 방법은 가장 흔한 이메일로 보내는 방법이 있다. 그래서 웹브라우저를 통해 외부로 전송하는 증거를 찾기 위해 Explorer index.dat을 분석했지만 이메일의 흔적은 없었다. 계속 찾아보는 도중에 Outlook Express라는 폴더를 찾았다. *Outlook Express - 마이크로소프트가 제작한 이메일 클라이언트 프로그램 Outbox.dbx 파일을 보면 파일 크기도 제일 크고 밖으로 보낸 기록을 담고 있는 파일 같다. dbx viewer을 통해 열어 보았다. confidential.doc 파일이 보이는데 파일을 열어보라고 ..
[xcz.kr] 24번 Memoryyyyy Dumpppppp
문제를 보면 메모리 덤프를 만들었다고 한다. 일단 파일을 두 개 다운로드하여보자. 파일을 다운로드하고 첫 번째 파일은 압축을 풀 수 있다. 메모리 덤프 문제는 nc.exe_1124_80_Fri-Nov-02-09:06:48-2012를 이용해 문제를 풀 것이다. 첫번째 파일의 압축을 풀면 xczprob2 파일을 얻을 수 있다. winxp를 사용하는 것을 알 수 있다. 프로세스 확인했을 때 nc.exe(netcat) 프로세스가 바로 보인다. *netcat (혹은 nc)은 TCP 또는 UDP를 사용하여 네트워크 연결을 읽고 쓰는 데 사용되는 컴퓨터 네트워킹 유틸리티이다. 이제 외부에서 접속이 있었는지 확인을 해봐야 한다. 확인 결과 : 내부 172.30.1.6 80 포트 / 외부 1.226.182.38 5949..
[xcz.kr] 13번 Network Recovery!
파일을 다운로드하면 network_recover 파일을 다운로드할 수 있다. 일단 확장자가 없다. HxD로 열어보자. header 부분을 봤는데 모르겠어 인터넷에 검색을 했다. 0A 0D 0D 0A는 Pcapng 파일 / D4 C3 B2 A1은 Pcap 파일이다. *pcap 와 pcapng 차이점 : 버전이 업그레이드되면서 기능들이 많아지다 보니 이것을 나타내기 쉽게 XML 형태식으로 추가적인 내용들이 들어가는 파일 저장 형식을 pcapng 파일이라 하고 이것보다 기능이 없는 것을 pcap. 일단 확장자 명을 pcapng로 바꾸자. Wireshark로 네트워크 통신을 볼 수 있다. 하지만 나같은 경우는 좀 더 편한 NetworkMiner을 좋아하기 때문에 이걸 사용할 것이다. 일단 pcapng 파일을 p..
[xcz.kr] 1번 End Of Image
이미지를 뜨고 나서 HXD를 열어 확인해보자 일단 무슨 문제인지 모르고 너무 많은 양을 보기에는 무리가 있기 때문에 먼저 하고 보는 게 있다. 처음과 끝을 본다. 이미지의 확장자는 png이다. png의 시그니처 처음은 (Header)89 50 4e 47 0d 0a / 끝은 (Footer) 49 45 4e 44 ae 42 60이다. http://forensic-proof.com/archives/323 그래픽 파일 시그니처 (Graphic File Signatures) | FORENSIC-PROOF forensic-proof.com 너무 좋은 사이트 봤을 때 처음은 png에 맞게 이상이 없었다. 하지만, 끝은 ff d9로 끝나는 걸 봐서 jpg 시그니처의 Footer이다. 예상을 두 가지 했다. 1. Hea..
[CTF-d](Multimedia) 브리타니아의 원더랜드… (100)
color.png 파일을 다운로드하여 보자 붉은색 픽셀과 검은색 픽셀로 구성된 이미지 파일을 받았다...(확대해서 보면 딱딱 끊어져서 픽셀 단위다) 가로 7픽셀에 세로 200픽셀이다. 색이 두 개라는 게 힌트인 것 같은데.... 느낌으로는 색이 두 가지니까 컴퓨터 전공자로서 0과 1이 생각이 났다. 그럼 바이너리 코드 즉 이진 코드로 바꿔서 풀면 뭔가 보이지 않을까 생각했다. 파이썬을 열고 pillow를 사용하자. 오랜만에 pillow 사용해서 이미지 코딩하려 하니 감을 못 잡겠다... 어쩔 수 없이 write up을 봤다. from PIL import Image img = Image.open("color.png") data = img.load() red = (255, 0, 0) text = "" bin..