파일 카빙5 [ctflearn] Minions 1. 개요 파일 카빙 문제 2. 분석 1) pngcheck pngcheck로 보면, IEND 뒤에 추가 데이터가 있다고 합니다. hex 에디터로 열어보면 URL이있습니다. https://mega.nz/file/wZw2nAhS#i3Q0r-R8psiB8zwUrqHTr661d8FiAS1Ott8badDnZkoH 들어가면 이런 사진을 받습니다. 2) rar hex 에디터로 열어보면 중간에 파일 이름이 있는 것으로 볼때 압축 파일이 섞여있는것 같습니다. foremost, binwalk로는 파일카빙이 제대로 되지 않아 직접했습니다. jpeg 파일의 푸터는 FFD9 rar 파일의 헤더는 5261 7221 5261 부터 끝까지 복사해서 a.rar 파일을 만들었습니다. 3) strings, base64 CTF 키워드를 g.. 2022. 8. 15. [ctflearn] Tux! 1. 개요 메타 데이터, 파일 카빙 문제 exiftool, foremost 사용 2. 분석 1) file 파일 포맷 확인하려고 찍었는데 comment에 base64로 인코딩 된듯한 문자열이 있습니다. base64 디코딩 하면 문자열을 얻습니다. (* 참고로 exiftool로 메타데이터 분석해도 comment가 있습니다.) 2) steghide 보통 포렌식 문제에서, 비밀번호를 주는 경우는 steghide 문제인데 이 문제는 아무것도 없었습니다. 그러면 비밀번호를 사용하는 경우는 zip파일이 있고 잠겨있는 경우(항상 그런건 아닙니다.) 3) foremost foremost로 분해했습니다. (binwalk는 제대로 동작하지 않았습니다.) zip 파일을 얻었고 비밀번호를 넣으면 flag를 얻습니다. 2022. 8. 15. [DigitalForensic] with CTF - DOS 모드에서는… 1. 개요 파일 카빙, reversing 문제 2. 분석 1) binwalk 파일 카빙 툴 binwalk로 분해하면 .exe 파일을 받습니다. 2) reversing .exe 파일을 그대로 실행하는건 위험하고 디어셈블 도구 ghidra로 열어보면, main 함수가 있고 직접 실행시키면 flag를 얻을 수 있습니다. 2022. 8. 14. [DigitalForensic] with CTF - 호레이쇼가 플래그를 보며… 1. 개요 파일 카빙, binwalk 문제 2. 분석 1) binwalk로 파일을 분해하면, 숨겨진 사진들이 나옵니다. binwalk --extract --dd=".*" zoomIn_3a3f6e35934021eca75b0abde70333a6.jpg.jpg 2) 수평 뒤집기 거꾸로된 사진을 수평 뒤집기하고 플래그를 확인합니다. 2022. 8. 7. 이전 1 2 다음
