전체 글 (169) 썸네일형 리스트형 [ctf-d] DefCoN#21 #1 [ctf-d] DefCoN#21 #1 문제에서 회의가 예정된 요일을 묻고 있다. 메시지에서 찾을 수 있지 않을까 생각했다. Messages 리스트를 쭉 봤다. 처음에는 이렇게 문자가 바로 보였다. 보다 보니까 이렇게 16진수로 나타내어진 문장들이 있었다. 그래서 그 16진수들을 아스키 문자로 변환해보았다. 출력된 메시지들을 정리해보면 Hi Greg :) Hi Betty what day do you want to meet up? How does Wednesday sound? Great :) what time? ah 2pm Ok, I can't wait! 그렇다면 회의가 예정된 요일은 수요일 성공! network_png network_png network_png 라는 이름의 파일이 하나 주어졌다. NetworkMiner에서 열었을 때 PcapNg 파일이라며 열리지 않는다. Wireshark와 NetworkMiner 두 가지 방법으로 해결해보았다. 1. Wireshark Wireshark에서 파일을 열어보았다. HTTP 리스트 추출 했더니 아래 세 개가 image랑 text 타입이다. 파일 이름도 treasure 1, 2, 3 모두 저장 버튼을 눌러서 폴더에서 파일을 확인했다. treasure1, treasure2, treasure3 파일을 HxD 프로그램에서 열었다. 헥스 값을 보다 보니 treasure1 파일에 png 파일의 헤더 시그니처가 있고 treasure3 파일에 png 파일의 푸터 시그니처가 있다. 그래서 파.. Volatility vmem파일 volatility로 분석해보기 먼저 windows 11 가상머신으로 실습을 진행하려고 했다. 가상머신을 suspend 하면 아래와 같이 vmem 파일이 생성된다. 해당 파일의 imageinfo를 출력해보려고 했는데 계속 이 화면 상태 그대로 아무것도 출력되지도 않고 넘어가지도 않았다 ... vmem 파일을 다시 추출해서 다시 imageinfo를 출력해봤다. No suggestion... 프로파일도 출력이 안 됐다 그래서 windows 7 가상머신으로 다시 실습을 진행했다. 이번에도 가상머신을 suspend 한 다음 vmem 파일을 생성했다. imageinfo 덤프파일의 이미지 정보를 분석할 수 있는 명령어 volatility ~ -f ~.vmem imageinfo 이번에는 정상적으로 출력이.. [CryptoHack] Network Attacks [CryptoHack] Network Attacks 중간자 공격을 해야 한다. 문제 파일로 Python 파일이 주어졌다. #!/usr/bin/env python3 import telnetlib import json HOST = "socket.cryptohack.org" PORT = 11112 tn = telnetlib.Telnet(HOST, PORT) def readline(): return tn.read_until(b"\n") def json_recv(): line = readline() return json.loads(line.decode()) def json_send(hsh): request = json.dumps(hsh).encode() tn.write(request) print(readline(.. [ctf-d] GrrCON 2015 #10 [ctf-d] GrrCON 2015 #10 문제에서 키 포맷이랑 힌트를 줬다. iexplore.exe 파일을 덤프했던 텍스트 파일에서 'front' 를 계속 본 것 같아서 봤더니 있다. 키 포맷이 .exe 파일 세 개라서 .exe를 검색해봤다. 쭉 내려보다 보니까 파일 리스트가 나온다. 파일 리스트에 exe 파일이 총 4개가 있다 Rar.exe wce.exe GetIsasrvaddr.exe >> 3개의 파일은 g로 시작하지 않는다고 했으니 얘는 아님 nbtscan.exe 나머지 3개는 알파벳 순이라고 했으니까 nbtscan.exe, Rar.exe, wce.exe 성공! [ctf-d] GrrCON 2015 #9 [ctf-d] GrrCON 2015 #9 암호 해시를 구해야 한다. volatility 해시값을 얻을 수 있는 플러그인을 찾아봤다. hashdump를 사용하면 된다고 한다! 참고: [WHOIS] 포렌식 교육 7주차 공부 / volatility 사용법/PID, PPID/md5, NTLM 해시 (tistory.com) 바로 hashdump를 사용했다. volatility~ -f ~ --profile=~ hashdump Administrator의 해시값이 출력이 됐다. 어디까지인지 몰라서 우선 aa~ee까지만 입력해봤다. 틀림 그러면 ~~82까지인가보다 성공! [Cryptography] STAGE 4 STAGE 4 1) Diffie-Hellman 대칭키 암호 - 수신자와 송신자가 같은 키를 공유하고 있다는 전제 필요 - 데이터 교환 전에 키 교환이 이루어져야 함 - 대칭키 암호의 안전성은 키에서 비롯 - 공개된 채널을 통해 키를 교환해도 외부인은 키를 알 수 없게 하는 공개 키 교환 알고리즘 고안 수학적 원리 및 키 교환 절차 생략 Diffie-Hellman에 대한 중간자 공격 - 네트워크로 통신하는 두 주체가 서로 신원을 확인하기 어렵다는 특성을 이용한 공격 - 수동적 공격: 공격자가 통신에 개입하지 않음 (일반적으로 네트워크에서 발생하는 공격) - 능동적 공격: 공격자가 통신에 직접 개입 - 공격자는 둘 사이에 오가는 정보를 모두 알 수 있으며, 필요하면 이를 변조할 수도 있음 >> 취약점 - 서.. [ctf-d] GrrCON 2015 #8 [ctf-d] GrrCON 2015 #8 사용자 정보를 얻어야 하는 문제인 것 같다. 구글링을 조금 했더니 파일의 메타 데이터에서 알 수 있다고 한다. 그래서 바로 강의자료를 찾아봄 MFT Parser을 이용하면 풀 수 있음 volatility ~ -f ~.vmss --profile=~ mftparser 엄청나게 출력이 돼서 진짜 깜짝 놀랐다 바로 중단하고 텍스트 파일로 출력 volatility ~ -f ~.vmss --profile=~ mftparser >> mftparser.txt 이 파일에서 찾아야 하는 게 해커의 정보여서 사용자와 관련이 있을 것이라고 생각 user를 검색하고 찾아봤다 계속해서 FRONTED~ ADMINI~ 가 보였는데 어느 순간 zerocool 이라는 수상한 게 보였다. 그래서 .. 이전 1 ··· 11 12 13 14 15 16 17 ··· 22 다음
