파일명이 변경되고 실행되고 삭제됨을 알 수 있다. 삭제되었는데 휴지통에서도 찾을 수는 없었다.
파일명이 변경되기 이전을 살펴보았다.
크롬으로 다운로드 되었다.
그래서 크롬 방문기록과 다운로드 기록을 확인하였는데, 해당 파일은 찾을 수 없었다.
여기서 문제를 다시 읽고, 스피어 피싱 = 메일임을 확인했다. 방문기록에 eM Client가 있음을 확인했고, 작년 예선에서 풀어보았기 때문에 해당 프로그램이 이메일 프로그램임을 알고 있었다. 먼저 내 컴퓨터에 eM Client를 설치하고, Appdata\Loaming\ 에 있는 eM Client 파일을 통채로 복사해서 내 컴에 그대로 덮어주고 프로그램을 실행하면 메일 내용을 확인 할 수 있다.
메일 내용에서 pdf첨부파일을 구할 수 있고, 열어보면 다운로드 링크를 준다.
다운로드 링크를 통해 photoshopsetup.exe을 다운로드 받을 수 있다.
여기까지 바이러스를 찾는 과정.
다음은 암호화된 파일을 복호화해야한다. 제공된 힌트 3번째 = "파일은 AES로 암호화되었다."
위 블로그 글에 나온대로 풀려고 했는데, 주어진 zip파일은 파일 크기 부분이 정상이 아니었기 때문에, data부분의 정확한 크기를 알 수 없었습니다. 그래서 1바이트씩 줄여가며 시도할 생각으로 0000이 끝나는 부분을 기점으로 추출해서 zip파일을 만들고 파이썬 코드로 압축 풀기를 시도했습니다.
이미지 파일이 주어지는데, HxD로 열어보면 PNG 파일과 JPG 파일이 붙어있음을 확인할 수 있다. 처음에 PNG 시그니쳐로 시작하기 때문에 엔드시그니쳐 END를 찾아내서 바로 다음에 붙어있는 JPG 시그니쳐부터 끝까지 추출해서 jpg 파일을 하나 만들어주면 flag가 담긴 이미지가 나온다.
WEB 첫 번째
문제 이름이 easy web이었던가.. 혀튼 id값을 받는 폼이 있었는데 admin으로 로그인만 하면 되는 문제였다.
여러가지를 입력해보니, "admi"을 필터링 한다는 사실을 알 수 있었다. (해당 문자열을 필터링한 나머지 문자열만 출력한다.) 그렇다면 입력을 admadmiin으로 입력해준다면 가운데 "admi"을 필터링한 나머지 문자열이 admin이 되어서 플래그가 나온다.
WEB 두 번째
문제이름이 proxy 이었을 것이다. 쿼리(url뒤에 ?로 값받는거)로 url을 입력받아 해당 url의 내용을 보여준다.
url에 문제 url을 입력하고 페이지 소스를 보니, 주석으로 admin.php가 적혀있던 것으로 기억한다.
url에 문제 url/admin.php를 입력했을 때 권한이 막혔거나 아무것도 표시되지 않았던 것으로 기억되고, 그래서 url을 ㅗhttp://127.0.0.1/admin.php 로 했을 때 flag가 나왔던 것 같다.
WEB 세 번째
MAGIC
이 문제는 php 소스를 제공했다. 매직해쉬를 이용한 것인데 주니어 보안 세미나에서 php 관련 발표에서도 다뤘떤 내용이었다.
Bender B. Rodriguez was caught with a flash drive with only a single file on it. We think it may contain valuable information. His area of research is PDF files, so it's strange that this file is a PNG.
Difficulty: easy-medium
There is end signature of PNG at 0x340232
base64 encoded string, and PDF file.
I tried decoding base64 string,
Nice try, but there is no flag here.
You should check this music video out though, it's pretty cool.
https://www.youtube.com/watch?v=TuJqUvBj4rE
but it was not a flag..
Then, I exported part of pdf data.
I opened it.
ok... rename .pdf to .zip
i found another png file.
Open it with hex viewer.
pdf file again
found base64 string
flag : flag{P0lYt@r_D0_y0u_G3t_It_N0w?}
MicroServices
0_intrusion
100
Welcome to MicroServices inc, where do all things micro and service oriented! Recently we got an alert saying there was suspicious traffic on one of our web servers. Can you help us out?
What is the IP Address of the attacker?
open with wireshark.
packets 을 length order로 보면 10.91.9.93 sent many tcp packets to server.
so attacker's ip is 10.91.9.93
flag : 10.91.9.93
Crypto
-.-
244
To 1337-H4X0R:
Our coworker Bob loves a good classical cipher. Unfortunately, he also loves to send everything encrypted with these ciphers. Can you go ahead and decrypt this for me?
The oldest SQL Injection Vulnerability. The flag is the vulnerability ID.
flag : CVE-2000-1233
SQL Trivia 2
20
In MSSQL Injection Whats the query to see what version it is?
flag : SELECT @@version
Sea Quail
20
A domain-specific language used in programming and designed for managing data held in a relational database management system, or for stream processing in a relational data stream management system.
flag : SQL
64 Characters
20
A group of similar binary-to-text encoding schemes that represent binary data in an ASCII string format by translating it into a radix-64 representation.
flag : base64
With Some Milk
20
A small piece of data sent from a website and stored on the user's computer by the user's web browser while the user is browsing.
flag : cookie
Beep Boop
20
A standard used by websites to communicate with web crawlers and other web robots. The standard specifies how to inform the web robot about which areas of the website should not be processed or scanned
flag : robots.txt
Recon
Unexpected intruder
50
occurring in Chicago, Illinois, United States, on the evening of November 22. There was an interruption like nothing we had ever seen before.
What was the name of the Intruder?
flag : maxheadroom
Crypto
Alphabet Soup
125
MKXU IDKMI DM BDASKMI NLU XCPJNDICFQ! K VDMGUC KW PDT GKG NLKB HP LFMG DC TBUG PDTC CUBDTCXUB. K'Q BTCU MDV PDT VFMN F WAFI BD LUCU KN KB WAFI GDKMINLKBHPLFMGKBQDCUWTMNLFMFMDMAKMUNDDA
처음에 카이사르로 돌려봤는데 나오질 않아서 치환암호인것 같았다.
https://quipqiup.com/ 자동으로 치환암호를 풀어주는 이 사이트에 clue 없이 돌린다음에 WAFI=FLAG 라는 clue를 넣어주어 완벽한 해독문을 얻을 수 있었다.
flag : DOINGTHISBYHANDISMOREFUNTHANANONLINETOOL
scripting/coding
WebCipher
300
To verify that only computers can access the website, you must reverse the Caesar cipher There are a list of possible words that the cipher may be here
https://challenges.neverlanctf.com:1160
이게 왜 여기있고, 왜 300점이나 되는지 모르겠는 이상한 문제
페이지에 접속하면 문자열 하나와 입력폼 하나가 있다.
문자열을 카이사르로 돌리면 accelerator 가 나오는데 이를 입력해주면 플래그가 나온다.
사람이 푸는게 아니라 코드를 짜서 풀어야 하는 문제인건가...?
Binary
Binary 2
200
Our lead Software Engineer recently left and deleted all the source code and changed the login information for our employee payroll application. Without the login information none of our employees will be paid. Can you help us by finding the login information?
***Flag is all caps
.net이다. dotpeek으로 까보면 된다.
바로 flag를 확인할 수 있다. 하나하나 디코딩하기는 귀찮으니 나와있는 id와 pw을 입력해 flag를 출력하게 하면 된다.
flag : flag{ST0RING_STAT1C_PA55WORDS_1N_FIL3S_1S_N0T_S3CUR3}
Web
Cookie Monster
20
It's a classic https://challenges.neverlanctf.com:1110
페이지에 들어가면 He's my favorite Red guy 라고 하는데 쿠키몬스터에서 red guy의 이름은 Elmo다. 쿠키값에 그의 이름을 적는 쿠키가 있다. Elmo 를 적어주고 새로고침하면 플래그가 나온다.
flag : flag{YummyC00k13s}
Things are not always what they seem
50
if you can't find it you're not looking hard enough
페이지 소스보면 있다. 정확히는 글씨가 하얀색으로 되어 있어서 페이지에서는 안보이는 것이다. 드래그하거나 컨트롤+a 를 하면 볼 수 있다.
flag : flag{Whale_w0u1d_y0u_l00k3y_th3r3}
SQL Fun 1
75
REPORT: 'My Customer forgot his Password. His Fname is Jimmy. Can you get his password for me? It should be in the users table'
https://challenges.neverlanctf.com:1150
SELECT * FROM users WHERE Fname = 'Jimmy'
flag : flag{SQL_F0r_Th3_W1n}
SQL Fun 2
75
REPORT: A Client forgot his Password... again. Could you get it for me? He has a users account and his Lname is Miller if that helps at all. Oh! and Ken was saying something about a new table called passwd; said it was better to separate things
한때 우리 인류는 외계 생명체에 많은 관심을 가지고 있었다.
그래서 우리 인류는 외계에 지구를 소개하는 데이터를 전파에 넣고 전송을 했었는데,,,
그로부터 10년뒤,, 우리 인류는, 그것도 한국은 외계에서 보낸듯한 메시지를 수신받게 되었다.
그런데, 잠깐,,, 우리 인류가 사용하는 체계의 데이터가 아니었다...
과연 아래의 데이터는 무슨내용일까?