| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- NTFS
- beebox
- frida
- Docker
- otter
- vulnhub
- base64
- kibana
- MFT
- Openstack
- 인시큐어뱅크
- Volatility
- CTF-d
- diva
- elasticsearch
- lord of sql injection
- logstash
- igoat
- Suninatas
- Strings
- 2018
- SQL Injection
- foremost
- XSS
- ESXi
- 파이썬
- Reflected XSS
- 안드로이드
- InsecureBank
- ctf
- Today
- Total
목록foremost (8)
Information Security
Graphic's For The Weak
foremost 명령어를 이용해 이미지 파일을 출력했다. png 파일 안에 Flag 값을 확인할 수 있다.
모두 비밀번호를 txt파일…
test.rtf 파일의 타입을 확인했다. test.rtf 파일을 열어보면 아래와 같은 것을 알 수 있다. tr -d 명령어로 ' 점을 삭제했다. tr -d 명령어로 \\을 삭제했다. Hex 값만 보이는 것을 알 수 있다. 해당 Hex 값을 out.bin으로 저장하였다. out.bin의 값을 ASCII로 보면 PNG가 보여 사진 파일이라는 것을 알 수 있다. strings 명령어로 보면 flag 파일을 확인할 수 있다. out.bin 파일을 out.png 파일로 변환 후 foremost 명령어로 카빙했다. 카빙을 하면 zip 파일과 png 파일을 확인할 수 있다. png 폴더에 00000000.png 파일을 확인할 수 있다. 00000000.png 파일을 열어보면 심슨을 보여주는 것을 알 수 있다. zip..
DOS 모드에서는…
stegano2.jpeg 파일을 다운로드하여 열어보면 아래와 같은 사진을 확인할 수 있다. strings 명령어를 통해 "This program cannot be run is DOS mode" 문자열을 확인할 수 있다. foremost 명령어를 통해 복구를 시도했다. 복구된 파일 중에 00000072.exe 파일을 실행시켰다. Flag : aw3s0me_flag 값을 확인할 수 있다.
그림을 보아라
eng.png 파일을 다운로드하면 해당 사진에 http://goo.gl/2Tig1v 링크를 확인할 수 있다. URL 링크 접속 시 archive.zip 파일이 다운로드하고 압축을 풀면 사진 파일과 Thummbs.db 파일을 확인할 수 있다. file 명령어를 통해 Thumbs.db 파일을 확인하고 foremost 명령어를 통해 복구를 시도했다. foremost 명령어를 통해 복구 파일을 보면 여러 이미지 파일이 복구된 것을 확인했다. 여러 이미지 파일이 복구된 것을 알 수 있다. foremost를 복구 시 몇 장의 이미지 파일이 깨져 Thumbs Viewer 프로그램을 이용해 Thumbs.db 파일을 열어 보았다. FLAG 값을 확인할 수 있다. Flag : XP_WAS_SO_SWEET_FOR_HACKE..
파일에서 이미지 파일을 찾아라!
strings 명령어를 통해 이미지 파일 글자를 확인했다. binwalk 명령어를 통해 이미지 파일 카빙을 시도했다. foremost 명령어를 통해 이미지 파일을 복구했다. gif, jpg, png 폴더에 들어가면 아래와 같은 사진 파일이 복구가 되어 있는 것을 알 수 있다. 이미지 파일을 조합하면 FLAG 값을 확인할 수 있다. Flag : SECCON{0CT 21 2015 0728}
이 그림에는 뭔가 좀 수상한...
PurpleThing.png 파일을 다운로드하면 아래와 같은 사진을 볼 수 있다. 데이터를 추출할 수 있는 명령어 binwalk 명령어를 이용해 JPEG 파일이 있는 것을 알 수 있다. foemost 명령어로 사진 파일을 추출했다. 00001495.jpg 파일을 추출했는 데 FLAG 값이 보이는 것을 알 수 있다. ABCTF{PNG_S0_COO1} FLAG 값을 알 수 있다.
Find Key{moon}
moon.png 사진 파일을 다운로드하면 달 사진이 보이는 것을 알 수 있다. 바이너리의 아키텍처, 엔트로피, 파일 시스템 정보를 알아 낼 수 있는 binwalk 명령어를 입력했다. foremost 명령어를 통해 데이터를 복구를 시도했다. output 폴더를 통해 00000804.zip 파일을 찾았고 moon이라는 비밀번호 입력 해 압축을 풀어 flag.txt 파일을 찾았다. sun{0kay_it_is_a_m00n} 키 값을 찾았다.
[SUNINATAS] 21번 문제
이미지 파일을 크기가 비 정상적으로 크다는 것을 알 수 있다. foremost는 데이터 복구를 위한 카빙(Carving) 툴이다. monitor 사진 파일에서 사진을 추출된 것을 알 수 있다. 추출된 파일을 보게 되면 글자를 확인할 수 있다. X-Ways hex editor 도구인 WinHex 도구를 이용하면 쉽게 파일을 카빙 할 수 있다. (Tools - Disk Tools - File Recovery by Type) 이미지 추출 옵션 설정을 한다. monitor.jpg 파일 안의 다른 jpg 파일들을 추출된 것을 알 수 있다.