본문 바로가기

Forensics

(62)
[Sans Network Forensics] Puzzle #2 보호되어 있는 글입니다.
[Sans Network Forensics] Puzzle #1 Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest (forensicscontest.com) 1. What is the name of Ann’s IM buddy? 문제 파일을 NetworkMiner로 열어주었다. Messages를 보니 Ann과 대화를 하는 Ann의 친구의 이름을 발견할 수 있다. Sec558user1 2. What was the first comment in the captured IM conversation? Message들의 타임스탬프를 보면 다음과 같다. 가장 위의 메시지의 시간이 가장 빠른 것으로 보인다. Here's the secret recipe... I just downloaded it from the file serv..
[SuNiNaTaS] 31번 [SuNiNaTaS] 31번 문제 파일은 pdf 파일이다. 해당 파일을 열어 확인할 수 있는 것은 Hello, Nice to meet you. Do you wanna get a Key? 문장뿐이다. 문제 제목처럼 pdf 분석을 해야 할 것 같아서 HxD로 문제 파일을 열어보았다. (pdf 파일 사이에 숨겨진 파일 등등이 있을지도 모르니) 쭉 보다보니 javascript 코드를 발견할 수 있었다. var Base64 = { keyStr : "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=" decode : function (input) { for (var ah = 0; ah < (input.length); ah++){ input=inpu..
[SuNiNaTaS] 29번 [SuNiNaTaS] 29번 문제 파일은 3.4GB 크기의 확장명은 없는 파일이다. HxD로 까보니 EGG 파일인 걸 알 수 있다. *egg 파일: 압축 파일의 일종 .egg 파일로 변경해주고 파일 내부를 보니 vmware 파일 확인 가능 vmx 파일을 실행해보았다. 문제가 적힌 메모장 화면이 켜지고 1) 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다. 더보기 실제로 naver에 접속하면 이 문제는 아마 host 문제이지 않을까 생각했다. hosts 파일을 찾아봤는데 내가 알기로는 hosts 파일은 원래 확장자가 없는 파일인데 txt 파일로 표시되고 있다. 아마 기존 파일이 숨김 처리 됐거나... 그런 문제이지 않을까 싶어서 설정을 변경해..
[SuNiNaTaS] 26번 [SuNiNaTaS] 26번 빈도 분석을 이용하는 문제라고 알려주고 있다. (공백과 구두점은 생략) 바로 빈도 분석을 통해 해독해주는 사이트도 있지만 직접 해보았다 (...) 가장 흔하게 사용되는 알파벳 : E 주어진 암호문에서 가장 빈도수가 높은 N을 E로 치환했을 때의 빈도 BPN의 빈도가 24이므로 이 단어가 THE일 것으로 가정하고 진행했다. 마지막 부분의 he?e 부분은 here로 추측하고 보니 마지막 단어가 reer로 끝이 나는데 reer로 끝나는 단어가 뭐가 있을지 생각해보다가 career가 생각이 나서 우선 M > c C > a 로 치환해주었다. threet??e이라는 단어가 있는데 이건 three time이지 않을까 생각하고 치환 (실제로 N 다음으로 Z가 빈도수가 높았기 때문에 Z는 모..
[SuNiNaTaS] 19번 [SuNiNaTaS] 19번 문제에서 binary를 제시하고 있다. 이 binary를 ASCII로 변환해주었다. 추출된 ASCII는 치환 암호를 사용하고 있는 것처럼 보였다. 치환 암호를 평문으로 바꾸어주는 사이트가 있어 사용해주었다. 여러 개의 변환 결과 중 아래의 결과를 통해 플래그를 획득할 수 있었다. PLAIDCTFISVERYHARD
[SuNiNaTaS] 18번 [SuNiNaTaS] 18번 문제에서 아스키 코드를 제시하고 있다. 우선 이 아스키를 텍스트로 변환해준다. VG9kYXkgaXMgYSBnb29kIGRheS4gVGhlIEF1dGhLZXkgaXMgVmVyeVZlcnlUb25nVG9uZ0d1cmkh 추출된 텍스트를 decode 해주어야 플래그를 얻을 수 있을 것으로 예상된다. base64 decoding 사이트를 사용해주었다. The AuthKey is VeryVeryTongTongGuri!
[SuNiNaTaS] 14번 [SuNiNaTaS] 14번 문제 파일은 evidence.tar tar 파일에 대해 알아보니 압축파일의 일종이라고 한다. 파일 내부를 보니 shadow와 passwd 파일이 있어 비밀번호 크랙 기법을 사용하면 플래그를 얻을 수 있을 것이라고 생각했다. //John The Ripper 공격으로 비밀번호를 크랙하는 방법 unshadow shadow john shadow john --show shadow 먼저 shadow 파일을 unshadow 해준다. * unshadow: shadow 암호를 passwd 파일에 병합해줌 john shadow 명령어로 암호를 크랙해준다. (해당 파일에서는 2개의 패스워드 해시가 발견됨) 위 과정이 종료되면 john --show shadow 명령어로 크랙된 암호를 확인할 수 있..