'-')!b

stegano2.jpeg 다운받으면 이런 이미지를 확인할 수 있는데, WAT HEX? 이래서 HEX가 문제가 아닌가 싶었음. 일단 HxD로 열어봄. jpeg 헤더 시그니처는 FF D8 FF E0 또는 FF D8 FF E8 푸터 시그니처는 FF D9인데, HxD 확인해보니까 푸터 시그니처가 이상했음. 검색해봤더니 .. 마침 익숙한 문자를 발견함. 제대로 보니 jpeg 푸터 시그니처 이후로 4D 5A, MZ랑 아까 cannot be run in DOS mode 보고 PE 파일이라고 생각되었음. 해당 부분만 잘라서 exe 파일로 새로 만들어줌. 해결 ~!

이런 이미지를 볼 수 있다. 사진들 제외하고 다른 거 없어 보이냐고 함. 위에 url 있길래 들어가봄. 뭔 이상한 사이트 나오는데 이미지랑 db 파일을 다운받을 수 있음. _Thumbs.db를 자세히 봐야할 것 같다. Thumbs.db - 미리보기 이미지가 생성되어 저장되는 파일 - 이미지 미리 보기 로딩 시간을 줄이기 위한 캐시 파일임. - 폴더에 있는 이미지 파일을 썸네일 형식으로 보게 되면 자동으로 생성되는 파일인데, 기본적으로 숨겨져 있음. - 굳이 필요 없어서 .. 생성 방지도 하나봄. - 숨겨진 파일 보기를 해야 함. (왜 나는 안됐지) - 따라서 미리보기로 보여질 이미지들은 jpg 형식 (FF D8 ~ FF D9) 으로 여기에 저장이 됨. https://lifenourish.tistory.c..

이러길래 일단 pdf 파일을 저장했다. pdf 암호를 어떻게 풀지 .. 싶었는데 따로 툴이 있었다. PDFCrack - PDF 파일의 암호 해독이 가능한 GNU/Linux 무료 도구 (Windows 사용 불가) - 무차별 대입 공격을 사용 - 사전 공격, 마스크 공격, 조합 공격도 지원함. - 참고 https://readyadvice.net/ko/%EB%B3%B4%ED%98%B8%EB%90%9C-pdf-%EC%95%94%ED%98%B8%EB%A5%BC-%EB%AC%B4%EB%A3%8C%EB%A1%9C-%EB%B3%B5%EA%B5%AC%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95%EC%9D%80-%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C 보호된 ..

#1 용의자가 가장 많이 접근했던 사이트의 URL과 #2 해당 URL에 마지막으로 접근한 시간 알아내기 인터넷 검색 및 웹사이트 방문 이력에 관련된 증거 파일과 데이터들은 컴퓨터가 켜진 상태에서 분석하기가 더 용이하다. → 인터넷 접속을 비롯한 현재의 컴퓨터 사용 이력 대부분이 임의 접근 기억 장치(RAM)에 저장되기 때문 RAM : 컴퓨터가 꺼지면 내부 정보도 함께 사라지기 때문에 단기 메모리 또는 휘발성 메모리라고 불림 * 대부분의 포렌식 툴은 컴퓨터 전원이 켜진 상태에서 램 안에 저장된 내용을 효율적으로 이미지로 생성해 보관하도록 함 1. 쿠키 데이터 보기 쿠키 : 신원 확인과 인증을 위해 웹 서버가 클라이언트 컴퓨터로 보내는 텍스트 파일 영속적 쿠키 : 사용자 신원을 확인하는 텍스트 파일로, 브라..

basisSixtyFour base64 ..?? 문제에서 주어진 패스워드로 압축 파일을 풀 수 있다. 그럼 png 파일을 하나 볼 수 있는데, 지원되지 않는 파일 형식이라고 한다. png 헤더 시그니처, 푸터 시그니처가 아닌 것 같다. 헤더 시그니처와 푸터 시그니처 모두 바이트를 추가해보았다. 그래도 지원되지 않는 형식이라고 해서.. 일단 다시 고쳤다. PEview로도 확인해봤지만 아무것도 알 수 없었음 그래서 그냥 무작정 base64 디코딩 했는데 .. 뭐가 나오는데 찾아보니까 리눅스에서 명령어 사용하면 된다구 함. 하지만 삭제해서 없음. 복사해서 새로 .png로 만들어봐도 안됨. base64 사이트에서 파일로 다운로드 가능한 기능이 있었다..! 해결! e_e HxD로 열어보았다. Photoshop ...

suninatas의 패스워드를 찾으면 되는 것 같다. passwd는 사용자 정보 파일, shadow는 패스워드 파일 suninatas:x:1001:1001::/home/suninatas:/bin/sh 1) 사용자 계정명 suninatas 2) 패스워드 x => shadow에 암호화 되어있다는 의미 3) UID 1001 4) GID (Group ID) 1001 5) 사용자 홈 디렉토리 /home/suninatas 6) 사용자 기본 쉘 /bin/sh $6$QlRlqGhj$BZoS9PuMMRHZZXz1Gde99W01u3kD9nP/zYtl8O2dsshdnwsJT/1lZXsLar8asQZpqTAioiey4rKVpsLm/bqrX/ 1) 6 => SHA-512 2) salt => QlRlqGhj 3) 암호화된 패스워..

공격자가 웹페이지 소스코드를 유출한 시간을 구하라고 한다. 압축을 풀면 위와 같은 폴더들을 확인할 수 있다. 웹페이지 소스코드를 유출한 시간을 구하라고 해서 weblog 폴더를 먼저 확인했다. weblog\access.log 파일 하나가 있었는데, 플래그 형식이랑 맞는 것 같아서 플래그는 여기서 찾으면 될 것 같다고 생각했다! 리눅스 로그파일 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=joonee14&logNo=220349139519 1) utmp : 현재 로그인한 사용자 상태 정보를 담고 있는 로그파일 명령어) w, who, finger 2) wtmp : 성공한 로그인, 로그아웃 및 시스템의 boot, shutdown의 히스..

BITCTF를 인코딩한 결과, QklUQ1RG라는 것을 알았다. HxD에서 QklUQ1RG를 검색한 결과, 동일한 문자열을 찾을 수 있었다. 시그니처는 모두 정상이었다. 옆 부분까지 다 복사해서 디코딩한 결과, 플래그를 얻을 수 있었다. 추가로 strings로 확인해본 결과, UQklUQ1RGe1M1IDAwMTQrODF9 이런 문자열을 찾을 수 있었는데 디코딩 오류가 발생했다. BITCTF를 인코딩해보고, 어디부터가 플래그 형식에 해당되는 문자열인지 알아야 했다. https://incoherency.co.uk/image-steganography/#unhide Image Steganography Each channel (red, green, blue) of each pixel in an image is r..

[Suninatas] 26 문제에서 빈도 분석하라고 한다. 그래서 바로 저번에 사용했던 치환암호 복호화 사이트에 넣어주었다. http://quipqiup.com/ quipqiup - cryptoquip and cryptogram solver quipqiup.com 자꾸 김연아 선수 어쩌구 하길래 그냥 kimyuna인가 싶어서 플래그로 입력했더니 해결되었다 .. .. .. [Suninatas] 28 다운로드받은 zip 파일에 암호가 걸려있었고, brute-force 하지 말라고 했는데 몇 개 넣어보다 안 되길래 HxD로 확인했다. 그리고 예전에 유사한 문제를 풀었던 것 같아서 참고했다. [HackCTF] Secret Document (tistory.com) [HackCTF] Secret Document F..

[Suninatas] 18 86 71 57 107 89 88 107 103 97 88 77 103 89 83 66 110 98 50 57 107 73 71 82 104 101 83 52 103 86 71 104 108 73 69 70 49 100 71 104 76 90 88 107 103 97 88 77 103 86 109 86 121 101 86 90 108 99 110 108 85 98 50 53 110 86 71 57 117 90 48 100 49 99 109 107 104 base64, url, md5, html, sha1, sha256, sha512 → 아님 ascii → VG9kYXkgaXMgYSBnb29kIGRheS4gVGhlIEF1dGhLZXkgaXMgVmVyeVZlcnlUb25nVG9uZ..