파일 시그니처6 [DigitalForensic] with CTF - splitted 1. 개요 패킷 덤프, hex editor, 파일 시그니처 문제 2. 분석 1) pcap pcap 파일을 받으면 zip 파일을 주고 받은 흔적이 있습니다. 다음과 같이 필터걸면 zip 파일 부분만 볼 수 있습니다. frame contains zip export objects를 클릭하면, 주고 받은 zip 파일 목록을 확인할 수 있습니다. 총 8개입니다. save all 누르면 모두 안전하게 export 됩니다. 2) zip 파일 시그니처 zip 파일의 헤더 시그니처는 504b 0304 인데 이상해서 압축 해제가 되지 않습니다. 다시 wirehshark를 보면 stream 순서와 content-Range 순서가 일치하지 않습니다. 진짜 순서를 맞춰서 hex editor로 조립해서 하나의 zip 파일을 만들.. 2022. 8. 15. [DigitalForensic] with CTF - 저는 이 파일이 내 친구와… 1. 개요 파일 시그니처 문제, png 복구 문제 2. 분석 1) file linux file 명령어로 열어보면 zip 파일이라고 합니다. 이름 바꾸고 압축을 해제하면 secret.png 라는 파일을 얻습니다. 2) png pngcheck로 검사하면, 제대로 안나옵니다. png 파일의 시그니처인 8950 4E47을 넣어주면 잘 보이게됩니다. pngcheck도 통과했습니다. 2022. 8. 15. [ctflearn] Minions 1. 개요 파일 카빙 문제 2. 분석 1) pngcheck pngcheck로 보면, IEND 뒤에 추가 데이터가 있다고 합니다. hex 에디터로 열어보면 URL이있습니다. https://mega.nz/file/wZw2nAhS#i3Q0r-R8psiB8zwUrqHTr661d8FiAS1Ott8badDnZkoH 들어가면 이런 사진을 받습니다. 2) rar hex 에디터로 열어보면 중간에 파일 이름이 있는 것으로 볼때 압축 파일이 섞여있는것 같습니다. foremost, binwalk로는 파일카빙이 제대로 되지 않아 직접했습니다. jpeg 파일의 푸터는 FFD9 rar 파일의 헤더는 5261 7221 5261 부터 끝까지 복사해서 a.rar 파일을 만들었습니다. 3) strings, base64 CTF 키워드를 g.. 2022. 8. 15. [DigitalForensic] with CTF - e_e 1. 개요 파일 시그니처, base64 문제 2. 분석 1) jpeg 불명의 파일을 받는데 리눅스 file 명령어로 분석하면 jpeg 파일입니다. 2) 이미지 확인해보면, 퍼즐같은 이미지가 나옵니다. 3) stegsolve stegsolve로 보면 가운데 어떤 문자열이 있습니다. 4) base64 문자열을 추출해서 base64로 디코딩하면 flag가 나옵니다. 2022. 8. 14. 이전 1 2 다음
