![]()
주어진 압축파일에는 run이라는 이름의 실행파일과 file이라는 이름의 파일이 보인다 이외에도 dll파일이 있지만, 우선 readme를 보자 파일을 복호화하하는 의미로 보인다 주어진 file을 살펴보면 실행파일이 아니라고 나타난다 문제에 주어진 대로 파일을 복호화하면 실행파일로 읽혀서 답을 확인할 수 있을 것 같다 run파일을 실행해보면 파일을 복호화하기 위한 key를 요구한다 올리로 바로 확인하면 실행파일에서 보았던 key를 입력하는 부분을 볼 수 있다 얼마안가서 작은 루프문과 fopen을 볼 수 있다 fopen에서는 'file'을 바이너리 읽기 형식으로 여는것을 확인 할 수 있다 fopen을 지나서 루프문을 볼 수 있는데, 확인해보면 'file'의 내용을 한글자씩 (getc) 받아오는 부분임을 알 수..
![]()
압축파일을 풀면 사진 하나가 나오는데 내용은 확인 할 수 없다 일단 HxD 오픈 파일 시그니처를 구글에 검색해보면 이 파일은 mp3파일임을 알 수 있다 재생을 하면 음성이 들리는데 한국어인지 영어인지 감을 잡을 수 없었다 뭔가 역재생시킨듯한 느낌도 받았다 일단 생각난 대로 이 파일을 역재생 시켜주는 방법을 이용했다 플래그는 한국어로 적자
![]()
압축파일 안에는 역시 사진 파일 하나가 들어있었다 문제 파일의 헤더 시그니처 부분을 좀 자세히 보면 일반적인 PNG 헤더 시그니처와 약간 다른 것을 알 수 있다 값을 적절하게 바꾸고 저장 사진이 나오기는 하는데, 비정상적으로 나타난다. 아래부분을 마저 확인하면 플래그를 확인 할 수 있을 것 같다. HxD로는 부족해서 010 editor를 이용했다 나는 해귀다 문제와 비슷하게 chunk부분을 바꾼 듯 한 흔적이 있다 대문자로 바꿔주자
![]()
문제파일에는 위와 같은 사진 하나가 있다 요즘 광고에서도 자주 보이시는 분.. 문제 제목에서 나는 7ㅏ수다를 모티브 한 것을 알 수 있었다 ㅋㅋ 각설하고 풀이! 겉으로 특별한 것이 없어서 바로 HxD 까보기 하지만 딱히 눈에 띄는게 안보여서 다른 툴을 이용해 보았다 이번에는 포렌식 툴로 유명한 010 editor로 까봤다 확실히 해당 파일에 대한 정보가 보다 자세히 나타난다 파일 구조의 끝부분에 Value가 DNEI로 되어있는 부분을 찾았다 그 위치로 이동하니 그 밑으로 쭉 어떤 PNG파일의 hex값이 뒤집어진 채로 있었다. (대충 뒤집어놓으셨다라는 뜻) 파일의 hex값을 뒤집는 방법에는 툴을 이용하거나 파이썬 코드를 짜는 등 다양한 방법이 있다 필자는 파이썬을 이용했다 파일을 뒤집으니 뒤집힌 플래그가 ..
![]()
압축파일 안에는 플래그 파일과 2개의 힌트 파일이 있다 플래그 파일은 암호화되어있어서 직접 확인 할 수는 없다 힌트파일은 접근이 되어서 확인 해봤는데 2가지 모두 확인하고 고려해본 결과 암호는 걸려있지 않다는 결론이 나왔다 ZIP파일의 구조를 살펴본 결과 크게 3개의 구역으로 나뉘어져 있는데, (Local File Header, Central Directory, End of central directory record) 이 중 Flag 영역에 파일의 암호화 여부를 체크해주는 부분이 있음 을 알게 되었다 문제 파일의 flag.txt의 Central Directory 부분에서 flag 필드를 확인 해 보면 09 08로 되어있다 이를 리틀 엔디언 형식으로 보면 08 09가 되는데 0809를 비트로 계산하면 0..
![]()
주어진 압축파일을 확인 하면 사진 한 장이 있다 겉으로 보면 특이점은 보이지 않는다 HxD로 까보자 이전 Question 문제와 동일하게 파일의 Footer Signature를 검색하고 찾아가 본 결과 플래그가 있었다 근데 잘보면 플래그의 상태가...? He_s0ggazzi_long? 가짜 플래그의 바로 밑에 PK라는 문구가 눈에 띄는데... 또 그 밑에 hidden.txt라는 매우 수상한 택스트 파일명도 눈에 띈다 PK의 윗부분을 싹 날리고 저장 해보자 압축파일 안의 내용이 바뀐 것을 볼 수 있다
![]()
HackCTF에 있는 짧은 문제들을 가져왔다 [Forensics] 1. Welcome_Forensics 플래그가 적혀있는 사진이 하나있다 사진을 다운받고 세로로 줄이자 2. Question? 사진을 확인하면 거짓말쟁이 문제를 생각나게하는 내용이 들어있다 직접 문제를 푼다고 해도 플래그가 아닐것 같아 HxD를 켜보았다 파일의 앞부분에는 JPG파일의 파일 시그니처 (FF D8 FF E0 ~)가 있었다 다음으로 이 JPG파일이 어디서 끝나는가를 찾기 위해 Footer Signature를 검색해보았다 +) JPG의 Footer Signature : FF D9 Footer Signature 바로 뒤에 플래그를 찾을 수 있다 3. 세상에서 잊혀진 날 찾아줘! pdf파일 하나가 주어지는데 파일 안에는 사진 하나만 덩..
![]()
택스트파일을 읽어보면 음악플레이어인데 1분 미리듣기(?)만 가능하다고 한다 1분을 넘어가면 Flag를 볼 수 있다고 한다 실행을 해보면 꽤 그럴싸한 모양새가 나온다 Open하면 기본적으로 .mp3 확장자만 들을수 있게 되어있지만 가지고있는 음악이 .wma라 그걸로 넣어보았다 음악을 올리고 재생하면 실제로 음악이 1분동안 재생되고 경고창이 뜬다 일단 문자열 검색을 해보면 많이 뜨기는 하는데 의미있는 값은 보이질않는다 사용된 함수를 찾아보니 vba~ 형식의 함수들이 많이 있다 비주얼베이직으로 작성된 프로그램으로 생각해 볼 수 있다 실제로 확인을 해보면 MS Visual Basic으로 작성된것을 볼 수 있다, 또 패킹은 되지않음을 확인 우선 생각해 볼 것은, [1분 미리듣기만 가능합니다]라는 창이 어디서 뜨는..
