liqu3ur 님의 블로그

문제 설명"저는 해커가 아닙니다. 저는 그저 세상을 조금 더 나은 곳으로 만들고 싶어하는 사람일 뿐입니다. 하지만 세상은 스스로 바뀌지 않을 겁니다." 문제 풀이문제를 접속하면 아래와 같은 웹페이지가 나온다.  이 사이트를 번역하면 깊이 파고들수록 더 많은 것을 발견하게 되고, 어떤 단서는 상자 밖에서 생각하는 사람만이 찾을 수 있는 곳에 숨겨져 있다. 라는 힌트를 통해서 소스코드를 탐험해야 함을 유추할 수 있다.  Ctrl + u로 소스 코드를 볼 수 있다.  주어진 /static/css/style.css에 접속해보면 아래 #flag 태그를 발견할 수 있고, content에 의심스러운 문자를 볼 수 있다.bC5 !2CE @7 E96 u=28 :D i f9b0db4CbEd0cCb03FC`b5N는 ROT로..

문제 설명의심스러운 파일을 찾았지만, 파일이 깨져서 정상적으로 열 수 없습니다. 당신의 목표는 파일의 비밀을 밝히는 것입니다.  문제 풀이 우선 HxD로 열고, 파일 유형을 알아본다. 아래 이미지와 같이 header signature가 zip 파일임을 확인할 수 있다. 이후 파일 이름에 .zip을 붙여 zip 파일 내부를 볼 수 있다.  _/word/media/ 경로에 접속하면 아래 이미지와 같이 not_so_suspicious_file을 볼 수 있다.  not_so_suspicious_file을 HxD로 열고, 아래 이미지와 같이 데이터를 확인하면 텍스트 IHDR를 통해 png 파일임을 추측할 수 있으며, header signature가 변형되어 있음을 확인할 수 있다. png 파일 header sig..

문제 설명암호화된 플래그가 있는데, 잘 암호화했어요!108 100 111 109 123 85 99 49 122 95 106 53 95 79 111 51 95 88 52 116 95 48 109 95 51 111 88 121 90 107 97 106 48 105 125 10 10 69 98 111 98 32 102 112 32 118 108 114 111 32 104 98 118 44 32 100 108 108 97 32 105 114 122 104 32 58 32 72 66 86 72 66 86 10 10 87 101 108 108 32 100 111 110 101 44 32 98 117 116 32 110 111 119 32 100 111 32 121 111 117 32 107 110 111 119 3..

문제 설명당신이 퍼즐에 능숙하다는 소문을 들었어요. 그래서 100피스짜리 작은 퍼즐로 그걸 시험해보려고 해요. 가짜 이메일로 러브레터를 받았습니다. 작성자가 누구인지 찾는 데 도움을 주실 수 있나요?문제 풀이docx 파일을 우클릭한 후, 속성을 클릭하면 아래 이미지와 같이 결과를 볼 수 있다. 자세히를 클릭하면 만든 이에 대한 정보를 확인할 수 있으며, Michel Teller임을 알 수 있다. 즉, 작성자는 Michel Teller이다.

문제 설명이미지가 도난당했는데, PCAP 파일에서 찾을 수 있나요?  문제 풀이문제 파일을 열고, 첫 번째 패킷을 보면 아래 이미지와 같이 퀴리에 16진수 값이 포함되어 있고, 이것이 패킷마다 다른 값임을 확인할 수 있다. 이 16진수 값들 중 첫 번째 패킷의 89504e470d0a1a0a는 PNG의 header signature인 것을 짐작할 수 있고, 공격자가 DNS 쿼리를 이용해 이미지 파일을 여러 패킷으로 분할하여 유출시켰음을 추측할 수 있다. 이제, DNS쿼리에서 모든 패킷의 16진수 값을 추출하도록 한다. 실행 명령어는 아래와 같다. (칼리리눅스에서 진행한다.)tshark -r justapcap.pcap -Y "dns.qry.name" -T fields -e dns.qry.name | grep..

문제 설명의심스러운 네트워크 전송이 가로채졌습니다. 사이버 보안 요원이 사라지기 전에 의심스러운 네트워크 트래픽을 감지했습니다. 공격자들은 흔적을 지우려고 시도했지만 PCAP 파일이 복구되었습니다. 이 패킷 어딘가에 중요한 파일이 유출되었습니다. 트래픽을 분석하고, 숨겨진 데이터를 추출하고, 비밀 메시지를 밝혀낼 수 있나요? 문제 풀이제공된 PCAP 파일을 열고 의심스러운 패킷을 찾는다. 아래 이미지와 같이 첫 번째 패킷을 우클릭 한 후, 따라가기 클릭 후, TCP 스트림을 클릭한다. TCP 스트림을 확인해보면 아래 이미지와 같이 data가 base64로 인코딩 되어있는 것을 확인할 수 있다.  base64 디코딩 사이트(https://www.base64decode.org/ko/)에 접속해 디코딩을 진행..

Volume Analysis 볼륨 분석은 저장 장치에서 바이트를 파티션하고, 조립하는 데 관련된 데이터 구조를 살펴보는 것이다. 이를 통해 볼륨을 생성하게 된다. 볼륨은 파일 시스템 및 기타 구조화된 데이터를 저장하는 데 사용되며, 이런 내용은 File System Analysis에서 다루도록 하겠다. 여기서는 볼륨 분석의 기본 개념을 추상적인 방식으로 접근하며, 모든 유형의 볼륨 시스템에 적용되는 원칙을 설명할 것이며, 특정 유형의 파티션 및 조립 시스템에 초점을 맞출 것이다.  Introduction디지털 저장매체는 데이터를 효율적으로 검색할 수 있도록 구성된다. 볼륨 시스템은 일반적으로 Microsoft Windows를 설치하면서 하드디스크에 파티션을 생성하는 과정에서 접할 수 있다. 설치 과정에서..

문제 설명가짜 flag를 피해서 진짜 flag를 찾아라!@ 아래는 문제와 함께 제공되는 flag.png다. 문제 풀이우선 아래 이미지와 같이 HxD로 이미지를 열어보도록 하겠다. Header Signature가 0x89504E470D0A1A0A로 파일 확장자는 png인 것을 확인할 수 있으며, 올바른 확장자를 사용하고 있음을 확인할 수 있다.그렇다면 여러 이미지가 병합되어 숨어있을 수 있다는 가정을 해볼 수 있다.png의 Footer Signatue(0x49454E44AE426082)를 확인해보니 png 파일 외에 zip 파일 Header Signature(0x504B0304)가 추가로 있는 것을 확인할 수 있다.  아래 이미지와 같이 zip 파일의 시작 오프셋은 4680이고, 종료 오프셋은 7212임을..

Disk Imaging디스크 이미징이란 디지털 저장매체의 복제본인 디스크 이미지를 생성하는 과정이다.※ 디지털 저장매체란 HDD, SSD와 같이 데이터를 저장하는 장치를 의미한다.※ 디스크 이미지란 디지털 저장매체에 저장되어 있는 디지털 데이터를 바이트 단위로 복제해서 하나의 파일로 저장한 것을 의미한다. 디스크 이미징을 위해 사용하는 도구 중에는 FTK Imager라는 프로그램이 있다.FTK Imager 다운로드(https://www.exterro.com/digital-forensics-software/ftk-imager) 설치가 완료되면 아래 이미지와 같은 화면을 볼 수 있다. FTK Imager를 이용한 Disk Imaging프로그램 왼쪽 상단의 'Add Evidence Item'을 누르면 아래 화..

MBR(Master Boot Record)MBR은 디스크의 가장 첫 섹터에 저장되는 데이터를 의미한다. 섹터란 디스크의 최소 기억 단위로, 전통적인 하드디스크에서는 512 바이트 크기를 가진다. 즉, MBR이란 단순히 디스크의 가장 처음 512 바이트 영역에 저장되는 데이터를 지칭하는 용어이다. VBR(Volume Boot Record)VBR은 볼륨의 가장 첫 번째 섹터에 저장되는 데이터를 의미한다. VBR은 MBR과 다르게 하나 이상의 섹터로 구성되며, 그 크기는 파일 시스템과 클러스터 크기에 따라 달라질 수 있다. MBR, VBR RoleMBR과 VBR은 컴퓨터의 부팅 과정에서 사용되는 데이터이다. 컴퓨터 메인보드의 BIOS가 POST(Power On Self-Test) 과정과 기본적인 하드웨어 점검..