M4ndU의 만두만두한 블로그

Title
Google Is Our Friend.

Description
Hint1. Key is composed of UpperCase.

Find 'Common Word'

cw.zip 압축파일이 주어지는데, 그 안에 5개의 jpg파일들이 존재한다.

구글을 사용하라는 듯한 제목과 주어진 이미지로 봐서 구글 이미지 검색을 활용하는 문제인 것 같다.

5개 이미지 모두 SMALLTALK라는 것과 연관이 있는 걸 알 수 있는데, SMALLTALK로 인증하면 된다.

authkey : SMALLTALK

Title
Do you know this file?

Description

what.eps라는 파일이 주어졌다.

exeinfo 프로그램으로 확인해 보니, Adobe PostScript language file 이라고 나온다. 어도비 포스트스크립트에 대해 검색하던 

중에 eps확장자명으로도 존재한다는 것을 알게 되었다.

eps viewer online을 검색하여 what.eps파일을 읽었다.

qr코드 이미지가 나왔다. 이를 저장해서 qrcode reader로 읽었다.

내용:

hooray!! auth "I_can_read_Aztec_Code"

authkey: I_can_read_Aztec_Code

Title
Adieu, Starcraft1!

Description

adieu.scx 파일이 주어진다. scx파일은 스타크래프트 맵 파일이다.

파일을 맵 에디터로 열어준다.

Scenario > Triggers 에서 player을 XCZ.kr로 클릭하면, authkey가 보인다.

authkey : SC1_VERY_Fuuuuuun

Title
Easy Android

Description

APK파일이 주어진다. classes.dex 파일을 추출하기 위해 .apk 확장자를 .zip 확장자로 바꾸어 준다.

그 다음 .dex파일을 빼내었다.

.dex파일을 디컴파일하기 위해 dex2jar을 사용했다.

그런데 dex파일이 아니라고 오류가 난다.

.dex파일을 HxD로 까보았다.

리소스 관련 내용들이 보인다.

resources.arsc에 들어있어야 할 내용이라서, resources.arsc를 HxD로 까보았다.

.dex파일이다. classes.dex파일과 resources.arsc파일이 뒤바뀐 것이었다.

resources.arsc파일을 추출해서 dex2jar로 디컴파일하면 정상적으로 디컴파일이 이루어진다.

이렇게 만들어진 jar파일을 jd-gui.exe로 디컴파일했다.

ProbActivity.class를 보면, authkey가 있다.

authkey : I_LOVE_ANDROIDAPP

Title
Hello, Android!

Description

일단 파일들을 보니 안드로이드 앱은 아닌 것 같다.

압축파일의 파일명인 avd를 검색해 보았다.

안드로이드 가상 기기. 가상머신 같은건가 보다.

avd를 사용하기 위해선 avd manager가 필요하다고 한다.

근데 이게 android-studio 프로그램에 내장되어 있다.

http://www.androiddocs.com/sdk/index.html 여기에서 다운받자.

설치 중간에 JDK가 필요하다고 뜬다. http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html 여기에서 다운받아 설치하자. 64비트/32비트

10버전 사용하면 오류난다.

avd 설정 파일들을 확인해 보았다.

config.ini

OS는 android-10, cpu 아키텍쳐는 arm, abi는 armeabi를 사용한다.

정보는 확인했으니, android studio에서 avd manager를 실행한다.

tool > android > AVD Manager

Create a virtual device

아무거나 선택하고 넘긴다.

android-10는 gingerbread이다. abi는 armeabi를 선택해야 하는데 처음에는 보이지 않는다. armeabi-v7a를 다운로드 받았더니 armeabi도 다운로드 되어졌다. 

OS를 맞췄으면 넘긴다.  그리고 FINISH를 눌러 생성.

이제 C:\Users\사용자명\.android\avd\기기명.avd 이 경로로 이동하여 파일을 모두 아까 문제파일들로 교체해준다.

그리고 실행

실행하면 잠금화면에 authkey가 있는 걸 알 수 있다. 그런데 패턴에 가려져 있는데다가 패턴을 모른다...

adb를 이용해서 잠금화면을 추출해야 한다.

디바이스가 잡힌다.

adb pull /data/data/com.android.settings/files/wallpaper output경로

를 입력하면 추출된다.

authkey : U5i_ng_ad_b_is_v2ry_e5_sy

Title
I don't speak English.

Description

Find the [Key]. 

치환암호, 카이사르, 비제네르 이중 하나일 것이다.

https://www.guballa.de/vigenere-solver

비제네르로 하니 풀렸다.

authkey는 디코딩에 성공한 키인데, 대문자로 해야 인증이 된다.

authkey : GANGPSYNAM

Title
Listen Carefully!

Description
Hint1. Auth Key = Upper Case

들어보면 모스부호라는 것을 알 수 있다.

다운받아서 보면 파일명도 morse다.

모스부호 소리 파일을 디코딩해주는 사이트가 있다.  https://morsecode.scphillips.com/labs/audio-decoder-adaptive/

여기에 파일을 업로드하고 디코딩해주면 된다.

3번 돌렸다.

완벽하게 되지 않았지만 대충 key를 구할 수 있다.

authkey : MORSECoDE

Title
End Of Image

Description

이미지 파일이 있다. 다운받아서 HxD로 열었다.

헤더 시그니처를 보니 PNG파일이다.

그런데, PNG 푸터 시그니처가 보이지 않는다.

대신에 FF D9가 보인다. FF D9는 jpeg의 푸터 시그니처 이다.

png파일과 jpeg파일이 붙어 있는 것 같다. foremost를 이용해서 파일을 분리해주었다.

파일이 png파일 하나, jpg파일 하나로 분리되었고, jpg파일에 key가 있었다.

authkey : JOg-dragonKER

SuNiNaTaS의 32번문제 풀이입니다. 

[FORENSIC]

hex editor로 열어보면 FAT32로 포멧되어 있는 것을 알 수 있다.

표에 따르면, 0x1FE~0x1FF 범위에 부트레코드 손상여부를 확인하는 용도의 시그니처 0x55AA가 있어야 한다고 한다.

그러나 이 이미지파일에는 없다.

시그니처 위쪽으로 밀려 있다. 사이에 NULL바이트를 추가해서 올바른 위치로 밀어주었다.

1FE - 126 = D8

D8크기 만큼 추가해주면 된다.

그러면 FTK Imager에서 정상적으로 인식한다.

2차 테러 계획.hwp를 추출해서 열어보면 다음 테러 장소를 알 수 있다.

 Rose Park

파일 수정 시각은 파일 속성을 보면 된다.

2016-05-30_11:44:02

MD5(2016-05-30_11:44:02_Rose Park) == 8ce84f2f0568e3c70665167d44e53c2a

SuNiNaTaS의 31번문제 풀이입니다. 

[FORENSIC]

http://ex3llo.tistory.com/33 게시글을 참고해서 풀어보았습니다.

https://blog.didierstevens.com/programs/pdf-tools/ 에서 pdfid.py를 다운받았습니다.

pdfid.py를 사용해 pdf 문서 구조를 확인했다. JavaScript 코드가 있는 것을 확인할 수 있다.

이제 이 자바스크립트 코드를 확인하기 위해 peepdf.py를 사용했다. 

이 peepdf.py는 https://github.com/jesparza/peepdf 에서 다운받을 수 있습니다.

-i 옵션을 꼭 넣자.

먼저 30을 확인해 보았다.

코드가 나올 때 까지 쭉 쫓아가자..

37에서 코드가 나왔다!

이어서 해보자.

36에는 아무것도 없다... 39에 %PDF가 보인다.

object 39에 pdf파일이 있는 것 같다. 이를 추출하기 위해 PDFStreamDumper.exe를 사용했다.

(이 프로그램을 보니 처음부터 이걸 사용했으면 되는게 아닌가 하는...읆...)

object 39을 pdf형식으로 추출했다.

pdf가 보호되어 있어서 https://smallpdf.com/unlock-pdf 이 사이트를 통해 잠금을 풀었다.

다시 PDFStreamDumper.exe 를 사용하니 object 7에서 플래그가 나왔다.

MD5(SunINatAsGOodWeLL!@#$) == 13d45a1e25471e72d2acc46f8ec46e95