Forensic/wargame & ctf (35) 썸네일형 리스트형 [ctf-d] GrrCon 2015 #1 #2 Volatility 명령어 정리 imageinfo 메모리의 운영체제를 식별 pslist 시간 순서대로 출력 psscan 숨김 프로세스를 볼 수 있음 pstree PID, PPID 기반으로 구조화해서 보여줌 psxview pslist, psscan을 한 눈에 볼 수 있음, 숨김 프로세스 찾는 데 사용 cmdline 프로세스가 실행될 때 인자값 cmdscan 콘솔에 입력한 값들을 실제로 볼 수 있음 consoles 콘솔에서 입력 및 출력한 값들을 실제로 볼 수 있음 filescan 메모리 내에 존재하는 모든 파일에 대한 정보를 다 출력함. 오래걸림. dumpfiles 프로세스의 메모리 덤프 추출 -> strings로 변환해서 키워드 검색 procdump 프로세스의 exe 파일 추출 connections (x.. [ctf-d] 우리는 바탕화면 캡처 본을 얻었다. 문제에서 위와 같은 desktop_capture.png를 확인할 수 있다. 으잉 HxD에 넣어봤는데 별다른건 없었고, 바탕화면 캡처본에서 비밀메시지 읽으라고 해서 잘 살펴봤는데 그림판에 HxD 캡처본이랑 채우기 기능 선택되어 있고 유치원생도 풀 수 있다고 해서 똑같이 그림판을 사용해야하나 싶었음 그래서 HxD 캡처본을 그림판에서 채우기 기능으로 채워봤는데 .. 엥 그냥 주어진 캡처본에 적용하면 되는 거였다 ... 해결 ~ [ctf-d] DOS 모드에서는... stegano2.jpeg 다운받으면 이런 이미지를 확인할 수 있는데, WAT HEX? 이래서 HEX가 문제가 아닌가 싶었음. 일단 HxD로 열어봄. jpeg 헤더 시그니처는 FF D8 FF E0 또는 FF D8 FF E8 푸터 시그니처는 FF D9인데, HxD 확인해보니까 푸터 시그니처가 이상했음. 검색해봤더니 .. 마침 익숙한 문자를 발견함. 제대로 보니 jpeg 푸터 시그니처 이후로 4D 5A, MZ랑 아까 cannot be run in DOS mode 보고 PE 파일이라고 생각되었음. 해당 부분만 잘라서 exe 파일로 새로 만들어줌. 해결 ~! [ctf-d] 그림을 보아라 (thumbs.db) 이런 이미지를 볼 수 있다. 사진들 제외하고 다른 거 없어 보이냐고 함. 위에 url 있길래 들어가봄. 뭔 이상한 사이트 나오는데 이미지랑 db 파일을 다운받을 수 있음. _Thumbs.db를 자세히 봐야할 것 같다. Thumbs.db - 미리보기 이미지가 생성되어 저장되는 파일 - 이미지 미리 보기 로딩 시간을 줄이기 위한 캐시 파일임. - 폴더에 있는 이미지 파일을 썸네일 형식으로 보게 되면 자동으로 생성되는 파일인데, 기본적으로 숨겨져 있음. - 굳이 필요 없어서 .. 생성 방지도 하나봄. - 숨겨진 파일 보기를 해야 함. (왜 나는 안됐지) - 따라서 미리보기로 보여질 이미지들은 jpg 형식 (FF D8 ~ FF D9) 으로 여기에 저장이 됨. https://lifenourish.tistory.c.. [ctf-d] pdf파일 암호를 잊어... 이러길래 일단 pdf 파일을 저장했다. pdf 암호를 어떻게 풀지 .. 싶었는데 따로 툴이 있었다. PDFCrack - PDF 파일의 암호 해독이 가능한 GNU/Linux 무료 도구 (Windows 사용 불가) - 무차별 대입 공격을 사용 - 사전 공격, 마스크 공격, 조합 공격도 지원함. - 참고 https://readyadvice.net/ko/%EB%B3%B4%ED%98%B8%EB%90%9C-pdf-%EC%95%94%ED%98%B8%EB%A5%BC-%EB%AC%B4%EB%A3%8C%EB%A1%9C-%EB%B3%B5%EA%B5%AC%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95%EC%9D%80-%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C 보호된 .. [ctf-d] 판교 테크노밸리 K기업에서... #1 #2 #1 용의자가 가장 많이 접근했던 사이트의 URL과 #2 해당 URL에 마지막으로 접근한 시간 알아내기 인터넷 검색 및 웹사이트 방문 이력에 관련된 증거 파일과 데이터들은 컴퓨터가 켜진 상태에서 분석하기가 더 용이하다. → 인터넷 접속을 비롯한 현재의 컴퓨터 사용 이력 대부분이 임의 접근 기억 장치(RAM)에 저장되기 때문 RAM : 컴퓨터가 꺼지면 내부 정보도 함께 사라지기 때문에 단기 메모리 또는 휘발성 메모리라고 불림 * 대부분의 포렌식 툴은 컴퓨터 전원이 켜진 상태에서 램 안에 저장된 내용을 효율적으로 이미지로 생성해 보관하도록 함 1. 쿠키 데이터 보기 쿠키 : 신원 확인과 인증을 위해 웹 서버가 클라이언트 컴퓨터로 보내는 텍스트 파일 영속적 쿠키 : 사용자 신원을 확인하는 텍스트 파일로, 브라.. [ctf-d] basisSixtyFour / e_e basisSixtyFour base64 ..?? 문제에서 주어진 패스워드로 압축 파일을 풀 수 있다. 그럼 png 파일을 하나 볼 수 있는데, 지원되지 않는 파일 형식이라고 한다. png 헤더 시그니처, 푸터 시그니처가 아닌 것 같다. 헤더 시그니처와 푸터 시그니처 모두 바이트를 추가해보았다. 그래도 지원되지 않는 형식이라고 해서.. 일단 다시 고쳤다. PEview로도 확인해봤지만 아무것도 알 수 없었음 그래서 그냥 무작정 base64 디코딩 했는데 .. 뭐가 나오는데 찾아보니까 리눅스에서 명령어 사용하면 된다구 함. 하지만 삭제해서 없음. 복사해서 새로 .png로 만들어봐도 안됨. base64 사이트에서 파일로 다운로드 가능한 기능이 있었다..! 해결! e_e HxD로 열어보았다. Photoshop ... [Suninatas] 14 suninatas의 패스워드를 찾으면 되는 것 같다. passwd는 사용자 정보 파일, shadow는 패스워드 파일 suninatas:x:1001:1001::/home/suninatas:/bin/sh 1) 사용자 계정명 suninatas 2) 패스워드 x => shadow에 암호화 되어있다는 의미 3) UID 1001 4) GID (Group ID) 1001 5) 사용자 홈 디렉토리 /home/suninatas 6) 사용자 기본 쉘 /bin/sh $6$QlRlqGhj$BZoS9PuMMRHZZXz1Gde99W01u3kD9nP/zYtl8O2dsshdnwsJT/1lZXsLar8asQZpqTAioiey4rKVpsLm/bqrX/ 1) 6 => SHA-512 2) salt => QlRlqGhj 3) 암호화된 패스워.. 이전 1 2 3 4 5 다음
