일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- reversing
- Wordpress
- CSV Injection
- Whitespace Programming
- 네트워크
- 취약점 진단
- volvolatility
- multimedia
- zip 파일 구조
- CVE
- scapy
- 보고서
- xcz
- 암호학
- zap 파일
- 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드
- 스테가노그래피
- union sql injection
- DOS
- Stored Cross-Site Scripting
- LifterLMS
- QR코드
- Import/Export Wordpress Users
- ctf-d
- wargame.kr
- Python
- steghide
- 포렌식
- forensic
- strcmp 취약점
- Today
- Total
목록포렌식 (26)
광팔이 보안이야기

image1.jpg 다운로드하여 보자 이미지 파일을 열 오보면 오류가 뜬다. 일단 HXD로 열어보자 바로 WAVEfmt가 보였다. 일단 jpg 파일이 아니다. 확장자를 변경해야겠다. RIFF(52 49 46 46) / WAVEfmt(57 41 56 45 66 6d 74 20) 시그니처 값을 찾아보니 음악 재생 파일이다. http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com 진짜 너무 좋은 사이트 처음 보는 거 다 있어 확장자 변경 후 image1.wav을 재생하니 일단 소리가 들린다 하지만, 이상한 소리가 들렸다. 저번에 어떤 CTF 대회인지 기억은 안 나는데 ..

moon.png 파일을 다운로드하여 보자 달 사진이 보인다... 일단 HXD를 사용해보자 텍스트에 flag 겁색 결과 flag.txt가 보인다. 자세히 보면 PK가 보인다. 시그니처 값이 PK(50 4B 03 04)는 zip 압축파일이다. http://forensic-proof.com/archives/300 파일 시그니처 모음 (Common File Signatures) | FORENSIC-PROOF forensic-proof.com 시그니처 값 볼때 자주 이용하는 사이트 이제 따로 잘라서 zip 파일을 생성해주자. 생성 후 압축 파일을 해제 결과 flag.txt 파일이 담겨있었다. 플래그 값 : sun{0kay_it_is_a_m00n} 다른 wirte up을 보면 리눅스에서 binwalk로 flag.t..

butterfly.png를 다운로드하여 보자 일단 가볍게 HXD로 열어봤다. 의심가는게 없었다. 다음 자연스럽게 StegSolve로 열어보았다. red palne 0으로 했더니 플래그 값을 쉽게 얻을 수 있었다. 플래그 값 : sun{RE4DY_THE_4CID_M4GNET!} 다른 사람 wirte up을 보는데 이런 문제들을 풀기 위해서 먼저 히스토그램을 알아야 한다. 문제를 풀기 위해서는 히스토그램 평준화 기능을 알아야 한다.(분포를 고르게 만들어주어 식별하기 용이하게 해 준다.) *히스토그램 : 이미지 명암의 분포를 의미한다.(디지털 이론) 나중에 따로 히스토그램 디지털 이론을 찾아보고 정리해서 글 써야겠다.

dump1.raw.lzma를 다운로드하자 압축을 풀어보니 dump.raw다. 파일의 이름과 확장자가 메모리 덤프 파일이 연상된다. volatility를 이용해 분석해보자 윈도우에 volatility가 설치되어 있지 않아 설치되어있는 리눅스로 넘어가자. volatility는 메모리 포렌식에 정말 유용한 툴이다 나중에 따로 정리해보자. sudo vol.py -f dump1.raw imageinfo를 하면 Win10x64가 나온다. 해당 파일이 윈도우 10 OS의 메모리 덤프 파일인 것을 알 수 있다. 이제 실행 중이던 프로세스 목록을 봐야 하는데 명령어는 pslist가 나온다 많이 나온다 여기서 봐야 할 것은 PID값이 4092인 mspaint.exe(그림판)를 봐야 한다. 다른 것들 몇 개를 봤을 때 플래..

flag 파일을 다운로드하자 일단 자연스럽게 HXD로 열어보았다. 엄청 작은 파일이다. 문제를 자주 풀어봤던 나는 1F 8B 08을 보고 바로 GZ라는 압축파일이라는 것을 눈치챘다. 확장자명을 gz으로 주고 압축을 푸니 flag 파일을 줬다. 플래그 값이 보였다. 플래그 값 : ABCTF{broken_zipper} 여기서 파일 시그니처가 중요한데 내가 자주 보는 사이트가 두개가 있다. http://forensic-proof.com/archives/300http://forensic-proof.com/archives/323 그래픽 파일 시그니처 (Graphic File Signatures) | FORENSIC-PROOF forensic-proof.com http://forensic-proof.com/arch..

hidden.png 파일을 받아보자 일단 자연스럽게 HXD툴을 사용해 열어보았다. 의심스러운 점을 찾을 수 없었다. 문제에 빨간색이 이상해보인다 해서 Stegsolve 툴을 이용하여 Red plane을 0으로 설정하니 플래그를 얻을 수 있었다. 여기서 사용한 StegSolve 툴은 CTF에서 포렌식 문제를 풀이할 때 정말 많은 도움이 되는 툴이다. 꼭 다운받아 놓자 플래그 값 : tjctf{0dd5_4nd_3v3n5}