M4ndU의 만두만두한 블로그

Is a computer forensics distribution that installs all necessary tools on Ubuntu to perform a detailed digital forensic and incident response examination.

google search.

extract LSB data

you can use zsteg.

Just get the flag

file : light

This file has png header signature. Therefore It is PNG file, and it has also png footer signature.

After PNG footer signature, there are some binary strings.

I could guess that binary is ascii code, because it starts 01~~.

easy.

Can You help us to extract the metal from Exchangeable header

file : metal.jpg

image description is strange.

hmm

next!

welcome to volatility 101, you have to know when you start analyzing a memory dump you have to look to processes and files on desktop.

profile = WinXPSP2x86

프로세스 특이사항은 이정도.

/Desktop/flag/

나오는게 없다. R-studio로 분석해봐야 할 거 같다.

another memdumpfile in Desktop dir.

There are 3 files which has 0 byte size in flag dir.

The file name seems like 'key'.

compare with look_to_clipboard.txt and filename.

k.08462 -> 20

e.22743 -> 8

y.08981 -> 40

이 다음은 mem을 추출해봐야 할거 같다.

아 easy 맞냐고

Dega Company has been attacked and some data have been exfiltrated, Help them to know what exactly has been leaked.

pcap

base64로 인코딩된 문자열이 많던데

This Stream is so weird, looking something hidden here!!

sonic visualizer - failed

audio lsb - failed

-롸업-

0xmohammed.github.io/2020/11/29/Last-Human-Writeup.html

cyber Criminal is hiding information in the below file .can you capture the flag ?. Note: Flag format flag{XXXXXXX}

xxd -r garbage garbage.zip

password brute-force 1to5 char - failed

lock bit change - failed

----풀이보고 내용추가----

dictionary attack으로 패스워드는 hacker_crackdown가 됨.;;

Habibamod is sending a secret signal, tune your receiver.

It's simple.

Value of encoder is encoded in base64.

0 to . , 1 to !

To decode it: . to 0, ! to 1.

Bin to ascii

good.

vcan0  06C   [8]  88 E6 0A 3D EC DC 50 2A

Why dosen't my BOMP Explode!!
Format: Flag{}

b0mp 파일이 주어진다.

first 2 bytes are empty, but next 4 bytes seems like file size.

0xcdbe = 52670 =

so this is bmp file. b0mp에서 0을 빼면 bmp이기도 하다.

put 0x42 0x4D (bmp magic number) into first 2 bytes.

hmm

another bits are also empty.

----풀이보고 내용추가----

b0mp의 파일명을 b0mp.data로 바꾸고 GIMP에 불러온 뒤에, 오프셋, 너비, 높이를 아래와 같이 조절하면 플래그를 확인할 수 있다.

Someone outside the department has downloaded some files from our server but fortunately we encrypt all the files. Can you get this files?

note.epd and readme.txt were transferred.

pub is directory.

note.epd is encrypted file.

How to decrypt note.epd.

xor 0~0xff - failed

프로필 이전 2023.02 ~

https://alder-goat-e8c.notion.site/Profile-41e3482bfdcb44c18d71624739b49e09

-----

N0Named https://ctftime.org/team/104920 공동팀장 (2019.11~)

아주대학교 사이버보안학과 소학회 Whois https://eminent-acapella-e21.notion.site/Whois-081dff39f09c4715b0ed633c96432aaf (2020.09~)

CODEGATE2017 본선 (2017)

YISF 2018 본선 (2018.08.19)

한국코드페어 베타 2018 디지털스쿨백팩 코드챌린지 본선 (2018.11.24)

19th HackingCamp 참가 (2019.02)

순천향대학교 YISF 2019 8등 마이크로소프트코리아 대표상(2019.08.18)

20th HackingCamp 참가 (2019.08)

Timisoara CTF 2019 본선 (팀 : WTB) (폰마니아)

영남이공대학교 The Hacking Championship Junior 5등 장려상 (팀 : 스틸리언입사예정자명단.tar.gz) (2019.10.30)

금융보안원 FIESTA2020 4등 장려상 (팀 : N0Named) (2020.09.04~09.21)

TrollCAT CTF 2021 10등 (팀 : N0Named) (2021.02.06~02.07)

금융보안원 FIESTA2021 4등 (팀 : N0Named) (2021.09.03~09.13)

금융보안원 FIESTA2022 5등 특별상 (팀 : 이세계나라 AOMG 치킨아이돌) (2022.09.16~2022.09.26)

한국정보보호학회 디지털포렌식 챌린지 2022 대학생부 우수상(한국정보보호학회장상) (대학부 1위, 전체 공동 4위) (팀: ISEGYE_IDOL) (아주대학교 사이버보안학과 Whois 5인) (2022.05.01~2022.09.30)

2022년 제8회 디지털범인을찾아라경진대회 장려상(한국포렌식학회장 표창) (2022.10.31~2022.11.25)

http://ctf.no-named.kr:9300 문제출제 (팀 : N0Named) (2020)

서울여대 SWING CTF 문제출제/20시간 운영 (팀 : N0Named) (2020.08)

Whois X SWING CTF 15시간 운영 (Whois 2인) (2021.05)

이화여대 ECOPS CTF 문제출제/12시간 운영 (팀 : N0Named) (2021.06)

서울여대 SWING CTF 문제출제/24시간 운영 (팀 : N0Named) (2021.08)

INCOGNITO CTF 30시간 운영 (인코그니토 운영팀) (2021.08)

Whois OSINT CTF 1시간 운영 (Whois 2인) (2021.09)

아주대 사이버보안학과 AS CTF 2021 문제출제/12시간 운영 (Whois) (2021.11)

Hspace Open CTF by N0Named 문제 출제 (팀 : N0Named) (2021.12)

https://github.com/M4ndU

급식 정보를 제공하는 디스코드/카카오톡 챗봇 개발 및 운영 (python3) (2017~2018.07.21)

볼라티리티 카카오톡 플러그인 개발 프로젝트 (2021.12~2022.02)

BoB 11기 DJI 드론 디지털 증거 분석 및 분석 절차 수립 프로젝트 (2022.09 ~ 2022.12)

계속 주시해라!

100

계속 주시해라!

KEY Format : TEXT

Proxy.jpg 파일이 주어진다.

jpg 푸터 시그니쳐 뒤에 문자열이 있다.

이 hex값을 가지고 뭘 해야되는 줄 알았는데, 되는게 없어서 그대로 인증하였더니 됐다.

Multimedia

Find Key(moon)

100

Find Key(moon)

moon.png 파일이 주어진다.

뒤에 PK 시그니쳐가 붙어있다.

zip으로 만들어주자.

암호가 걸려있다.

advanced archive password recovery를 이용하여 브포한 패스워드는 moon이었다.

Multimedia

Find Key(butterfly)

100

Find Key(butterfly)

text 청크가 있길레 이 청크에 키 값이 있나 했는데... 플래그는 없었다.

그래서 그냥 stegsolve.jar 돌려보니까 플래그가 나왔다.

Multimedia

우리는 이 파일에 플래그를...

100

우리는 이 파일에 플래그를 넣었지만 오는 길에 뭔가 엉망이 됐어요.

KEY Format : ABCTF{(key)}

flag 파일이 주어진다.

1f 8b 08은 .gz 시그니쳐이다.

gz 압축을 풀어주면 flag 파일이 나온다.

Multimedia

사진 속에서 빨간색이…

100

사진 속에서 빨간색이 좀 이상해 보입니까?

hidden.png 파일이 주어진다.

문제 지문을 보면, 이미지(그림)에 플래그가 있는 것 같은 느낌이다.

png 파일이기도 해서 stegsolve.jar을 돌려보았다.

정답이었다.

저는 플래그를 이 파일에..

100

저는 플래그를 이 파일에 넣는 것에 긍정적입니다. 저를 위해 찾아 줄 수 있나요?

KEY Format : ABCTF{(key)}

just_open_it_jpg 라는 파일이 주어진다.

이미지를 보면 중간에 비트가 손상되서 이미지가 깨진 것을 확인할 수 있다.

jpg는 앞에 비트 하나만 잘 못 되어도 뒤에 전부 문제가 생기는 그러한 특징이 있다.

해당 비트 부분을 찾아서 고쳐야 하나 생각했지만..

문제에서 플래그 포멧을 준 것을 보고,  플래그 포멧을 이용하여 검색으로 찾으면 나오지 않을까라는  생각이 들었는데,

맞았다.

Multimedia

제 친구의 개가 바다에서…

100

제 친구의 개가 바다에서 수영을 하다가 플래그를 발견했는데 제게 주지 않습니다. 여기서 구해 줄 수 있습니까?

hidden.jpg가 주어진다.

이미지를 잘 보면, 흐릿한 문자열을 확인할 수 있다.

포토샵을 사용하여 반전 > 명도&채도 조절 을 통해 비교적 선명한 문자열을 만들 수 있었다.

Find the flag

주어진 파일 뒷 부분에 PK 시그니쳐가 붙어있다.

When you open a given png file with HxD, you can see PK signature at the end.

zip으로 만들어서 열면 플래그가 나온다.

Rename the file .png to .zip. Then, you can get a flag!

simple_forensic

암호가 걸린 zip 파일이 주어진다.

Given zip file has locked.

브포 돌려서 비번을 찾을 수 있다.

You need to brute-force attack to find password to unlock zip.

The password is 1337.

그러면 압축파일(file.zip) 하나랑 txt파일을 하나 열 수 있다.

Then, you can get a file.zip and a txt file.

뭔가 했는데, 모스부호 였다.

In txt file, you can see only K and H. I guessed this is morse code.

H -> - , K -> . 으로 하고 돌리면 되는데,

페이크 플래그가 나온다. ㅋㅋ;;

However, it was fake flag. :p

버리고 file.zip을 보자. 암호가 걸려있는 것 처럼 보이지만, 사실은 안 걸려있다.

Send txt file to TRASH CAN. And look at the file.zip

It seems like locked file, but it isn't. You don't need to find a password.

비트 조작해주면 된다.

Just change some bits of zip file.

mandu-mandu.tistory.com/143 참고하자

(처음에 브포를 돌렸기 때문에 이런 풀이가 나올 것 같았음.)

hxd로 까보면,

이렇게 나오는데, zero-width space steganography가 적용된 것이다.

e2808b, e2808c, e2808d, e2808f

zero-width space steganography

github.com/offdev/zwsp-steg-js

를 이용하여 플래그를 구할 수 있었다.

I can get a flag using zwsp-steg-js.

Find Hangul

아무런 설명 없이 VM.E01을 던져준다.

No description for this task.... :(

you can open the VM.E01 using FTK Imager.

유저폴더 살펴보고 휴지통을 살펴보았다.

I looked at the user folder and the Recycle.Bin.

많고많은 폴더와 파일 중에서 훈민정음.docx파일을 찾을 수 있다.

You can find Hunminjeongeum.docx file in many fake files.

추출해서 열어보자.

Export and open it.

하얀글씨로 안 보이도록 하거나, 스크롤을 많이 내리도록 되어 있어서, 색상 맞춰주고 정렬해주면 한 번에 내용을 볼 수 있다.

근데 저기있는 플래그도 페이크플래그다. ㅎㅎ;

But there's no flag. h4c(hangul_choigo) is not a flag. 

docx 파일을 zip으로 만들고 열어보면 flag.png를 찾을 수 있다.

Rename .docx to .zip and then open it, you can find flag.png

청크 이름의 대소문자를 바꿔놓았다. 다 수정해주면 정상적으로 이미지를 확인할 수 있다.

Recover chunk names.

png -> PNG

Srgb -> sRGB 등.. ect...

GNP

ff d9 jpg 푸터 시그니쳐 뒤에 png 파일이 뒤집어 있다.

It's reversed!!

잘라내서 뒤집고

< flag.png xxd -p -c1 | tac | xxd -p -r > file.png

stegsolve.jar로 보면 문자열이 나온다.

Affine Cipher 돌리면 플래그가 나온다. (GUESSING!!!!)

www.dcode.fr/affine-cipher (AUTOMATIC BRUTE FORCE DECRYPTION)

Dark light (not full wirte-up)

파일 여러개가 붙어있다.

foremost를 사용해서 분리해주었다.

qr code 9개가 나오는데 값을 보면,

sorry_this_is_not_a_flag

do_you_want_a_flag?

do_you_know_Korean_proverb?

등

잔

밑

이

어둡다.

h4c(f4c3_f_a_k_e)

뭘까?

hmm hmmmmmmmmmmmmmmm

message from space (not full wirte-up)

wav가 주어지는데, sstv 문제다.

github.com/MossFrog/SSTV-Decoder/blob/master/SSTV-Complete.py

디코딩 해주면 이런 이미지가 나온다.

Password : HangulDay

어디다 써먹는 걸까

Where can i use it... :(

14461009

한글 단순 치환 암호이다.

Hangul simple substitution cipher.

1446년 10월 09일, 'ㆍ','ㅛ','ㅕ' 이 부분을 보면 한글 창제와 관련이 있는 내용으로 보인다.

치환 코드는 이 것을 이용했다.

j0n9hyun.xyz/writeups/crypto/Korean-substituation-cipher/

필,켜,녈뇩 -> 천,지,인을   부터 시작하면 된다.

어느 정도 게싱으로 때려맞춰보면, 마지막에 문제를 확인할 수 있다.

해당 문제에 대한 답을 주어진 서버로 넘겨주면 플래그를 받을 수 있다.