'-')!b

이러길래 일단 pdf 파일을 저장했다. pdf 암호를 어떻게 풀지 .. 싶었는데 따로 툴이 있었다. PDFCrack - PDF 파일의 암호 해독이 가능한 GNU/Linux 무료 도구 (Windows 사용 불가) - 무차별 대입 공격을 사용 - 사전 공격, 마스크 공격, 조합 공격도 지원함. - 참고 https://readyadvice.net/ko/%EB%B3%B4%ED%98%B8%EB%90%9C-pdf-%EC%95%94%ED%98%B8%EB%A5%BC-%EB%AC%B4%EB%A3%8C%EB%A1%9C-%EB%B3%B5%EA%B5%AC%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95%EC%9D%80-%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C 보호된 ..

#1 용의자가 가장 많이 접근했던 사이트의 URL과 #2 해당 URL에 마지막으로 접근한 시간 알아내기 인터넷 검색 및 웹사이트 방문 이력에 관련된 증거 파일과 데이터들은 컴퓨터가 켜진 상태에서 분석하기가 더 용이하다. → 인터넷 접속을 비롯한 현재의 컴퓨터 사용 이력 대부분이 임의 접근 기억 장치(RAM)에 저장되기 때문 RAM : 컴퓨터가 꺼지면 내부 정보도 함께 사라지기 때문에 단기 메모리 또는 휘발성 메모리라고 불림 * 대부분의 포렌식 툴은 컴퓨터 전원이 켜진 상태에서 램 안에 저장된 내용을 효율적으로 이미지로 생성해 보관하도록 함 1. 쿠키 데이터 보기 쿠키 : 신원 확인과 인증을 위해 웹 서버가 클라이언트 컴퓨터로 보내는 텍스트 파일 영속적 쿠키 : 사용자 신원을 확인하는 텍스트 파일로, 브라..

basisSixtyFour base64 ..?? 문제에서 주어진 패스워드로 압축 파일을 풀 수 있다. 그럼 png 파일을 하나 볼 수 있는데, 지원되지 않는 파일 형식이라고 한다. png 헤더 시그니처, 푸터 시그니처가 아닌 것 같다. 헤더 시그니처와 푸터 시그니처 모두 바이트를 추가해보았다. 그래도 지원되지 않는 형식이라고 해서.. 일단 다시 고쳤다. PEview로도 확인해봤지만 아무것도 알 수 없었음 그래서 그냥 무작정 base64 디코딩 했는데 .. 뭐가 나오는데 찾아보니까 리눅스에서 명령어 사용하면 된다구 함. 하지만 삭제해서 없음. 복사해서 새로 .png로 만들어봐도 안됨. base64 사이트에서 파일로 다운로드 가능한 기능이 있었다..! 해결! e_e HxD로 열어보았다. Photoshop ...

공격자가 웹페이지 소스코드를 유출한 시간을 구하라고 한다. 압축을 풀면 위와 같은 폴더들을 확인할 수 있다. 웹페이지 소스코드를 유출한 시간을 구하라고 해서 weblog 폴더를 먼저 확인했다. weblog\access.log 파일 하나가 있었는데, 플래그 형식이랑 맞는 것 같아서 플래그는 여기서 찾으면 될 것 같다고 생각했다! 리눅스 로그파일 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=joonee14&logNo=220349139519 1) utmp : 현재 로그인한 사용자 상태 정보를 담고 있는 로그파일 명령어) w, who, finger 2) wtmp : 성공한 로그인, 로그아웃 및 시스템의 boot, shutdown의 히스..

Broken.jpg를 다운받고 보니, 깨진(?) QR 코드를 볼 수 있었다. QR 코드 구조에서 정사각형이 빠져 보이는 저 부분을 '위치 찾기 심볼'이라고 하는데, 각 모서리에 위치한 3개의 정사각형을 통해 어느 방향이나 각도에서도 QR 코드를 정확하고 빠르게 인식할 수 있다. 이 부분을 그림판을 통해 복원시켜줬다. 쉽게 해결되었다!!

이번 문제도 대화 내역이 중요할 거라고 생각되어, 우선 DefCoN#21 #1을 풀었을 때처럼 IRC 프로토콜을 찾아보았지만 Message to D34thM3rch4nt(이전 문제를 보면 이 사람이 Greg인 것 같다 ..!) blocked: Please find another way to transfer your file 이외에 다른 특별한 점은 찾을 수 없었다. 검색을 해보니, NetworkMiner라는 도구를 사용하면 유용하다고 한다. NetworkMiner - Windows용 오픈 소스 NFAT(Network Forensic Analysis Tool) (but also works in Linux / Mac OS X / FreeBSD) - 운영 체제, 세션, 호스트, 열린 포트 등을 감지하기 위해 ..

와이어샤크로 pcap 파일을 열어보자. IRC 프로토콜이 사용된 7번 패킷이 눈에 띄는데, 여기에 채팅 데이터가 존재할 거라고 생각된다. * IRC 프로토콜 Internet Relay Chat. 즉, 실시간 채팅 프로토콜로, 개인 메시지를 통한 1:1 소통, 파일 공유를 포함한 채팅 및 대화 전송이 가능하다. 해당 패킷의 TCP Stream을 Follow해보자. 빨간색 부분은 송신자, 파란색 부분은 수신자를 의미한다. 앞 부분에서는 대화 내용을 확인할 수 있지만, 뒷 부분에서는 대화 내용이 인코딩되어 있는 것으로 보인다. 값이 16진수로 되어 있고, 1바이트마다 특수문자로 나누어져 있는 것으로 보아, html 인코딩이 사용된 것 같다. * HTML 인코딩 아스키 값을 기준으로 인코딩된다. ex) A(아스..

head.png를 확인해보자. 규칙적인 사진의 배경이 눈에 띈다. HxD로 확인해보자. 파일 시그니처와 구조 모두 문제가 없다. 한 가지 발견한 건, www.inkscape.org 라는 무료 벡터 그래픽 소프트웨어를 사용한 것으로 보인다. 다시 사진의 배경을 집중해서 보면, 표시한 특정 패턴이 반복되고 있음을 알 수 있다. 각 행마다 흰색을 0, 검은색을 1로 표현하면 01010011 00110100 01001110 01000011 01001000 00110000 이 이진코드를 텍스트로 변환해보자. int() 함수에 진수의 base 값을 추가 인자로 넘겨주면 다시 숫자로 변환할 수 있다. 이때, int() 함수의 2번째 인자는 디폴트가 10이기 때문에 생략했을 경우 10진수의 문자열이 숫자로 변환되는 것..

HxD로 열어보자 !! png의 헤더 시그니처와 푸터 시그니처는 맞다. 전에 png 파일 구조와 관련된 문제를 푼 적이 있어서(Magic PNG), png 파일 구조를 살펴보았지만, 파일 시그니처와 IHDR, IDAT, IEND 청크들 모두 문제가 없었다. 사진을 선명하게 해준다는 사이트도 찾아봤는데, 실행이 되지 않았다. 결국 write up을 찾아보니, SmartDeblur라는 툴을 사용해야 한다고 한다. http://smartdeblur.net/index.html SmartDeblur - Fix Blurry, Defocused or Shake Cam Photos 60% Discount! buy now --> Fix Blurry and Defocused photos with SmartDeblur No..

PurpleThing.png를 클릭하면 이런 사진을 볼 수 있다. 우선 HxD로 확인해보자. 헤더 시그니처는 맞는데, 알고 있던 푸터 시그니처와 조금 다른 것 같다. 바이트를 추가해봤지만, 다른 점은 보이지 않았다. 전에 PNG 파일 내에 JPG 파일을 숨기는 경우를 본 적이 있는데, 혹시나 해서 JPG의 푸터 시그니처인 FF D9를 검색해보니, 찾을 수 있었다. JPG의 헤더 시그니처인 FF D8 FF E0도 찾을 수 있었다. FF D9가 여러 개 검색되었는데, 헤더 시그니처 이후로 검색되는 건 한 개뿐이었다. 블록을 더블 클릭하자. 블록 선택 창이 뜨게 되는데, 시작과 종료 오프셋을 각각 작성해주면, JPG 파일의 데이터 값만 드래그 된다. 값을 복사해서 새로운 JPG 파일을 만들었다. 해결!