목록전체 글 (203)
YeoPEVA
Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 몇몇 문제는 직접 부팅해서 확인하는 특이한..? 방식으로 풀이를 진행했고, 한번 풀다가 잠시 접어두고, 다시 풀고 그래서, 중간에 풀이 방식이 조금 바뀔 수 있습니다. 1. Who's That User? User 이름을 물어보는 문제입니다. 그냥 부팅해서 풀었습니다 [...?] 다른 풀이 : autospy나 ftk 이용해서, SAM 레지스트리 뽑아서, 접근 가능. Answer : flag 2. Thee who logged in last C:\Windows\system32\config 로 접근하여 레지스트리를 뽑아낸 다음, SAM 레지스트리를 분석하면 됩니다. (REGA ..
Defcon-2019 | Deadbox Created: Feb 13, 2020 2:54 AM Tags: Defcon Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 1. 누가 이미지 (E01)을 만들었는지 물어보는 문제입니다. 같이 포함되어 있는 텍스트 파일 확인을 통해, 간단히 해결할 수 있습니다. flag 2. 사용자가 사용하는 유저의 계정을 묻는 문제였습니다. REGA를 이용해 간단히 풀이할 수 있으며, FTK Imager를 이용해서, C:\Windows\System32\config 측에서 SAM 하이브 파일을 뽑아, 분석하여, 사용자 계정 정보를 체크 flag 3. 1번과 같이, 이미징 작업을 하면서 발생한 로..
Defcon-2019 DF | Crypto Created: Mar 12, 2020 1:29 AM Tags: Defcon Defcon-2019 DF Crypto | Are you ready for this? File info : md5 / sha : (문제 설명) DFA.png를 통해, flag를 알아내는 문제입니다. (문제 풀이) 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 CHAMPLAIN COLLEGE 먼저 16진수를 적어 주고... 한번 strings 쪽 통해서 돌려봤는데, 그럴싸한 정보는 없었습니다. 16진수 → poqddhhn | rot13? 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 hex → rot13 (13) → 비즈네르 암호 (Audeamus)..
분석 결론 및 추정 | 상세 타임라인 그레그 샤르트 [Greg Schardt / Mr .Evil] IP = 192.168.1.111 MAC=0010a4933e09 피해자 IP = 192.168.254.2 Mozilla/4.0 | Windows 그레그 샤르트 관련 그레그 샤르트의 악의적인 행의를 증명해야함 악의적인 프로그램과 관련된 흔적 / 아티팩트 인터넷 트래픽 | 피해자와 관련된 정보 무선 액세스 포인트 | 수집 흔적 [증명] 노트북에 설치된 악의적인 프로그램 및 실행 흔적 존재 Ethereal / Look@LAN 을 이용해, 트래픽 수집 흔적 존재 배운 점 및 느낀 점 + 레지스트리 분석시 REGA를 이용해서 분석을 진행했는데, regripper가 상당히 편하다는 것을 알게됨 IRC 분석 및 grep..
각 항목 정답 및 풀이 16. Find 6 installed programs that may be used for hacking. [해킹에 사용될 수 있는 6개의 설치된 프로그램을 찾아라.] 공격자 IP 은닉 Anonymizer Bar 2.0 Wifi 탐색 NetStubler Network 정보 수집 Look&LAN_1.0 (network discovery tool) Ethereal (packet sniffer) Password Cracking Cain & Abel v2.5 beta45 (password sniffer & cracker) 123 Write All Stored Passwords (finds passwords in registry) 17. What is the SMTP email addres..
각 항목 정답 및 풀이 1. What is the image hash? Does the acquisition and verification hash match? (ftk, md5) [SCHARDT.001 ~ 008 | DD image] → wget을 통해 바이너리 다운로드 MD5 값 일치 확인 완료 FTK Drive/image Verify를 통해, 해쉬 값 검증 및 컴퓨터 해쉬, 해쉬 일치 확인 가능. 2. What operating system was used on the computer? (레지스트리) 레지스트리 파일 추출 및 RegRipper를 이용한 리포트 체크 위의 총 4가지 레지스트리를 추출하여, RegRipper를 이용해 분석 진행 software REG | winver, win_cv (re..
Cfreds-hacking-case Part.1 Created: Dec 20, 2019 6:45 PM Tags: cfreds Hacking Case 분석 목적 및 목표 2004년 9월 20일에 일련번호가 #VLQLW인 Dell Cpi 노트북이 무선 PCMCIA 카드와 수제 820.11b 안테나와 함께 버려진 채로 발견되었음. 해당 컴퓨터는 해킹 용의자인 그레그 샤르트와 관련지을 수는 없지만, 해킹 목적으로 사용됐다는 의심을 받고 있으며, 샤르트는 또한 Mr. Evil 이라는 온라인 별명을 가자고 있으며, 그의 일부 동료들은 그가 무선 액세스 포인트(스타벅스 혹은 그 외 T-Mobile 핫 스팟과 같은) 근처에 그의 차량을 주차하고 인터넷 트래픽을 가로채서 신용카드 번호 및 사용자 이름, 그리고 비밀번호와..
[Wargame.kr] [already_got] File info : md5 / sha : [문제 설명] [문제 풀이] Start를 누르면, 너는 이미 키를 가지고 있다고 합니다. [...?] 문제 지문에서 HTTP Response Header라는 구문이 있었으니, 이와 관련되었다 생각하여 풀이를 진행했습니다. F12 → 네트워크 → already_got → FLAG 짜잔. 혹은 아래와 같이, 와이어샤크를 통해, 패킷을 잡아 풀이 또한 가능합니다. [문제 의도 및 느낀점] HTTP Response를 볼 수 있는지..? [참고 문헌] Nope :)
[XCZ.KR] prob3 File info : md5 / sha : [문제 설명] [문제 풀이] 먼저 위 암호 구문 중 앞 부분을 구글링 하다보니, vigenere라는 힌트를 얻어, vigenere 디코더를 찾아 디코딩을 진행해보았습니다. Vigenere Solver 위 사이트에 접속해서.. 암호 구문을 넣고, Break를 해보니. 위처럼 암호키를 얻을 수 있었습니다. &ㅇ& [문제 의도 및 느낀점] vigenere | 비즈네르 암호 다중치환 암호와 관련된 지식 체크 암호 단일 치환 암호 | EX) 시저암호 다중 치환 암호 | EX) 비제네르 암호 [참고 문헌] 암알못의 암호핥기 - 치환암호