foremost4 [ctflearn] Tux! 1. 개요 메타 데이터, 파일 카빙 문제 exiftool, foremost 사용 2. 분석 1) file 파일 포맷 확인하려고 찍었는데 comment에 base64로 인코딩 된듯한 문자열이 있습니다. base64 디코딩 하면 문자열을 얻습니다. (* 참고로 exiftool로 메타데이터 분석해도 comment가 있습니다.) 2) steghide 보통 포렌식 문제에서, 비밀번호를 주는 경우는 steghide 문제인데 이 문제는 아무것도 없었습니다. 그러면 비밀번호를 사용하는 경우는 zip파일이 있고 잠겨있는 경우(항상 그런건 아닙니다.) 3) foremost foremost로 분해했습니다. (binwalk는 제대로 동작하지 않았습니다.) zip 파일을 얻었고 비밀번호를 넣으면 flag를 얻습니다. 2022. 8. 15. [DigitalForensic] with CTF - 이 그림에는 뭔가 좀 수상한... 1. 개요 파일 카빙 문제 2. 분석 foremost, binwalk 어느것을 사용해도 상관없습니다. 파일 카빙을 하면 숨겨진 사진이 나옵니다. foremost -t all PurpleThing.png binwalk --extract --dd=".*" PurpleThing.png ABCTF{PNG_S0_COO1} 2022. 8. 7. [DigitalForensic] with CTF - Three Thieves Threw Trumpets Through Trees 1. 개요 파일카빙, foremost, audacity 문제 2. 분석 1) 이미지 다운 curl 로 받았습니다. curl http://ctf-d.com/files/0079fbac5e83e682c111edb53476ea3d/image1.jpg -> image.jpg 2) foremost foremost는 포렌식 툴인데 파일카빙용으로 사용할 수 있습니다. 이미지 파일에 있는 wav 파일을 꺼내줍니다. foremost -t all image.jpeg 3) wav 파일 분석 일단 파일을 들어보면 너무 빨라서 잘 안들립니다. - 뒤집기 - 속도 느리게 기본 속도의 30%로 느리게 했습니다. 다시 들어보면 어느정도 들립니다. the password is abracadabra 2022. 8. 7. [ctflearn] Binwalk 1. 개요 파일 카빙 문제 https://ctflearn.com/challenge/108 2. 분석 제목에서 binwalk 쓰라고 되어있지만, 파일 카빙할 수 있으면 어느것을 사용해도 상관없습니다. 3. exploit 1) foremost 개인적으로 foremost를 좋아하는데 너무 편합니다. 이렇게 쉬운 문제의 경우 숨겨진 파일 까보는데 너무 좋습니다. 윈도우 OS 면, WSL로 설치하는것을 추천합니다. foremost -T all PurpleThing.jpeg 2) binwalk 문제의 의도대로 binwalk를 사용 binwalk --extract --dd=".*" PurpleThing.jpeg 2022. 6. 3. 이전 1 다음
