Strings (12) 썸네일형 리스트형 MemLabs Lab 6 - The Reckoning 문제 설명 정보국으로부터 이 메모리 덤프를 입수했습니다. 정보국에 따르면 이 자료에는 지하 세계 갱스터 데이비드 벤자민의 비밀이 담겨 있을 가능성이 있다고 합니다. 이 메모리 덤프는 FBI가 이번 주 초에 체포한 그의 부하 중 한 명에게서 확보한 것입니다. 당신의 임무는 이 메모리 덤프를 분석하여 단서를 찾아내는 것입니다. FBI는 또한 데이비드가 인터넷을 통해 부하들과 소통했다고 밝혔으므로, 인터넷 단서를 추적하는 것이 좋은 시작점이 될 수 있습니다. 참고 : 이 과제는 깃발 1개가 2부분으로 나뉘어져 있습니다. 이 실습의 플래그 형식은 inctf{s0me_l33t_Str1ng} 입니다. 메모리 덤프 파일의 운영체제를 확인하였습니다.python vol.py -f MemoryDump_Lab6.raw im.. DIVA - Access Control Issues - Part 2 목표: 앱을 실행하지 않고 Tveeter가 제공하는 PIN을 모르는 상태로 API Credential 획득하기 / 비즈니스 로직 문제이므로 코드를 볼 필요가 있다. Register Now 선택 후 1111 입력 시 에러 메시지가 발생하는 것을 알 수 있다. 뒤로 가서 Alerady Registered를 선택하면 API Credential을 확인할 수 있다. 이번 문제와 관련된 액티비티는 2개라는 것을 알 수 있다. 소스코드를 보면 boolean함수를 통해 aci2rbregnow의 결과를 chk_pin의 값으로 설정한다. isChecked는 체크박스가 선택되었는지를 확인하는 메서드이며 rbregnow는 Register Now체크박스인 것 같다. 따라서 Register Now 체크박스가 선택되었다면 chk_.. ASIS Quals CTF : 파일에서 플래그를 찾아라. file 명령어를 통해 문제 파일의 확장자를 확인했다. XZ 확장자를 가진 압축파일을 확인하고 확장자 변경 후 압축 파일을 풀었다. 한번 더 file 명령어를 통해 파일의 유형을 확인했다. Windows로 파일을 옮긴 후 16개의 압축파일에서 동일한 용량을 확인했지만 013.7Z 압축파일만 CRC가 다른 것을 알 수 있다. 압축을 풀면 이번에는 009.7z 파일만 CRC가 다른 것을 알 수 있다. 009.7z 압축을 풀면 0000007.7z만 다른 것을 알 수 있다. 0000007.7z 압축 파일을 풀면 0000000008.7z 파일만 다른 것을 알 수 있다. 0000000008.7z 압축을 풀면 bomb_08 파일이 다른 것을 알 수 있다. strings 명령어를 통해 FLAG 값을 확인했다. Recovery ILSpy에 넣어 password를 검색해보면 computerName-userName-password를 넘기는 것 같습니다. 해당 악성코드는 .net이기 때문에 UTF-16으로 인코딩하기 때문에 el 옵션을 통해 비밀번호를 추출했다. (windows 용 strings 는 -el 옵션을 사용하지 않습니다) Path To Glory pslist를 통해 torrent가 동작하는 것을 알 수 있다. filescan을 통해 torrent 파일만 검색했다. 0x000000007dae9350 파일을 추출해보겠습니다. strings 명령어로 0x000000007dae9350 문자열을 확인했다. 모두 비밀번호를 txt파일… test.rtf 파일의 타입을 확인했다. test.rtf 파일을 열어보면 아래와 같은 것을 알 수 있다. tr -d 명령어로 ' 점을 삭제했다. tr -d 명령어로 \\을 삭제했다. Hex 값만 보이는 것을 알 수 있다. 해당 Hex 값을 out.bin으로 저장하였다. out.bin의 값을 ASCII로 보면 PNG가 보여 사진 파일이라는 것을 알 수 있다. strings 명령어로 보면 flag 파일을 확인할 수 있다. out.bin 파일을 out.png 파일로 변환 후 foremost 명령어로 카빙했다. 카빙을 하면 zip 파일과 png 파일을 확인할 수 있다. png 폴더에 00000000.png 파일을 확인할 수 있다. 00000000.png 파일을 열어보면 심슨을 보여주는 것을 알 수 있다. zip.. DOS 모드에서는… stegano2.jpeg 파일을 다운로드하여 열어보면 아래와 같은 사진을 확인할 수 있다. strings 명령어를 통해 "This program cannot be run is DOS mode" 문자열을 확인할 수 있다. foremost 명령어를 통해 복구를 시도했다. 복구된 파일 중에 00000072.exe 파일을 실행시켰다. Flag : aw3s0me_flag 값을 확인할 수 있다. 파일에서 이미지 파일을 찾아라! strings 명령어를 통해 이미지 파일 글자를 확인했다. binwalk 명령어를 통해 이미지 파일 카빙을 시도했다. foremost 명령어를 통해 이미지 파일을 복구했다. gif, jpg, png 폴더에 들어가면 아래와 같은 사진 파일이 복구가 되어 있는 것을 알 수 있다. 이미지 파일을 조합하면 FLAG 값을 확인할 수 있다. Flag : SECCON{0CT 21 2015 0728} 이전 1 2 다음
