728x90
반응형
728x90
반응형
728x90
반응형

OSINT - Triangles

 

go to google image search

 

 

 

 

done.


Osint - Silver Darlings

search image with "cafe de la mairie"

 


OSINT - 50m on the Right

 

image search -> Armação de Pêra

you can find "bistro 24" in this image.

 

 

 

 

And there is a restaurant on the other side.

 


OSINT - John Poet

i searched image with "R.H.C"


OSINT - Skyline

First, when I searched the highest three buildings, it didn't come out, so I searched the color of the sheet.

Then, I could find similar cable car image.

 

It was london cable car.

 

 

728x90
반응형

'CTF Write Up' 카테고리의 다른 글

InCTF 2021 Forensics  (0) 2021.08.22
SSTF 2021 write up  (0) 2021.08.16
RCTS CERT CTF 2021 write up  (0) 2021.08.11
RTLxHA CTF 21 write up  (0) 2021.08.01
Securebug.se CTF Loki 2021 write up  (0) 2021.07.19
728x90
반응형

HxD


A png file is at the end of jpg file.

flag{0n3_1m4g3_1s_n0t_3n0ugh}


search "flag{"


usbhid.data

https://github.com/TeamRocketIst/ctf-usb-keyboard-parser

 

GitHub - TeamRocketIst/ctf-usb-keyboard-parser: This is the updated script from https://teamrocketist.github.io/2017/08/29/Foren

This is the updated script from https://teamrocketist.github.io/2017/08/29/Forensics-Hackit-2017-USB-ducker/ - GitHub - TeamRocketIst/ctf-usb-keyboard-parser: This is the updated script from https:...

github.com


base64


반응형


hex to ascii


magic hash

?hash=QNKCDZO


 

change cookie value

base64 encoded

guest -> admin


base64 decode

728x90
반응형

'CTF Write Up' 카테고리의 다른 글

SSTF 2021 write up  (0) 2021.08.16
RACTF 2021 Write up  (0) 2021.08.15
RTLxHA CTF 21 write up  (0) 2021.08.01
Securebug.se CTF Loki 2021 write up  (0) 2021.07.19
Securinets CTF Quals 2021 write up  (0) 2021.03.22
728x90
반응형



Ment0rNet/00:23:69:61:00:d0


413.576954

 

 


 

59274


$tshark -r evidence08.pcap -Y '(wlan.bssid == 00:23:69:61:00:d0) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

 

29719


aircrack-ng

crack key

 

airdecap-ng

decrypt

 

arp

728x90

공격자 : tshark -r evidence08.pcap -Y '(wlan.bssid == 00:23:69:61:00:d0) && (wlan.sa == 1c:4b:d6:69:cd:07) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

그외 : tshark -r evidence08.pcap -Y '(wlan.bssid == 00:23:69:61:00:d0) && (wlan.sa != 1c:4b:d6:69:cd:07) && wlan.wep.iv' -T fields -e wlan.wep.iv | sort -u | wc -l

 



 

a

admin:admin


728x90
반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 3] #1~#6]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
728x90
반응형

 

10.42.42.253에서 포트스캐닝을 한 것을 찾을 수 있다.

 

10.42.42.253

 

 

 


 

닫힌 포트일 경우 공격자가 TCP SYN을 보내고 서버가 TCP RST, ACK을 보내므로 TCP SYN 또는 TCP Connect이다.

그런데 열린 포트일 경우(779,786,791,821번 프레임), 공격자가 TCP SYN을 보내고 서버로부터 TCP SYN, ACK을 받은 뒤에 공격자가 TCP ACK과 TCP RST, ACK을 보내는 것을 확인할 수 있다. 따라서 TCP Connect 스캔이다.

서버로부터 TCP SYN, ACK을 받은 뒤 공격자가 TCP RST를 보냈다면 TCP SYN 스캔이다.

 


 

10.42.42.25, 10.42.42.50, 10.42.42.56

3곳 모두에 포트스캐닝을 시도하였다.

반응형

 

00:16:cb:92:6e:dc



 

728x90
반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 8] #1~#9]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
728x90
반응형

OSINT

 

where.png

 

 

Use Image search engine.

find a similar one.

 

Get keyword; Berlin, TV TOP.

 

Then find a building with a flag on top.

 

View the surroundings through Google Maps Roadview near TV Top.

 

 

good

728x90
반응형

'CTF Write Up' 카테고리의 다른 글

RACTF 2021 Write up  (0) 2021.08.15
RCTS CERT CTF 2021 write up  (0) 2021.08.11
Securebug.se CTF Loki 2021 write up  (0) 2021.07.19
Securinets CTF Quals 2021 write up  (0) 2021.03.22
LINE CTF 2021 write up  (0) 2021.03.21
728x90
반응형

Secret Document - Forensics

 

A Classified.docx file is given.

However, this files is not docx file.

 

This file is pcap file.

 

Rename .docx to .pcapng, then convert pcapng to pcap (https://pcapng.com/) (for using networkminer).

 


 

Open a Projan.pcap with networkminer.

The windows Defender detect a malware.

 

Upload goog1e_born_help.exe to virustotal.

ponmocup

반응형

ImposterApp - forensics

A memdump file is given.

imageinfo

Win8SP0x64

 

pstree

chrome, ie ,cmd, powershell, calc

-> chromehistory, iehistory, cmdscan, clipboard ... : nothing

 

R-studio

calc.exe is suspicious.

procdump -p 2816

 

flag.

728x90
반응형

'CTF Write Up' 카테고리의 다른 글

RCTS CERT CTF 2021 write up  (0) 2021.08.11
RTLxHA CTF 21 write up  (0) 2021.08.01
Securinets CTF Quals 2021 write up  (0) 2021.03.22
LINE CTF 2021 write up  (0) 2021.03.21
Codefest CTF 2021 Write up  (0) 2021.03.20
728x90
반응형

Sans Network Forensic [Puzzle 3] #1~#8

 

 

MAC주소는 여기에서 확인할 수 있다.

 

 

 

192.168.1.10의 http request 패킷을 확인한다.

 

 

 

http 필터를 걸고 search 관련 페이지에 파라미터 명이 q인 query가 넘어가는 것을 확인할 수 있다.

q에 검색내용이 담기므로 networkminer를 돌려서 해당 파라미터에 들어간 값들만 모아볼 수도 있다.

hack, sneak, iknowyourewatchingme 3개밖에 안보였는데 답이 h, ha, hac, hack 이란다.. 쩦

 

 

 

 

hack을 검색한 이후 패킷에서 찾을 수 있다.

 

 

 

반응형

 

307번 패킷에 대한 response 페이지 312번 패킷에 follow > HTTP stream 에 들어가서

preview를 검색했더니 나왔다.

 

 

 

 

 

처음에 hacker찾았던 패킷을 기준으로 info 정렬했더니 나왔다.

 

 

5번 문제처럼 하면 된다.

 

 

 

이 내용은 이미 #1 풀면서 구했다!

728x90
반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 8] #1~#9]  (0) 2021.08.04
CTF-D [Sans Network Forensic [Puzzle 3] #1~#6]  (0) 2021.08.04
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
728x90
반응형

pcap파일이 주어진다.

 

networkminer로 messages탭을 살펴보면

이메일 내용을 확인할 수 있다.

 

snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.

따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.

 

Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.

172.29.1.23에서 172.29.1.20로 직접 전송되었다.

 

해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.

728x90
반응형
728x90
반응형

pcap 파일이 주어진다.

 

networkminer로 해당 pcap파일을 열어서 messages부분을 확인해보면 문제 지문에서 언급된 betty가 나오는 메세지 내역을 확인할 수 있다.

 

인코딩된 뒷부분은 그냥 ascii로 변환해주면 된다.

 

How does Wednesday sound?
Great :) what time?
ah 2pm
Ok, I can't wait!

 

답은 Wednesday 이다.

 

해당 메세지들이 어떤 패킷에 어떻게 들어가 있는지를 확인해보기 위해서

wireshark로 먼저 7번 패킷을 확인해 보았다.

IRC 프로토콜을 사용하며, Request/Response형태로 메세지를 주고받는 것을 확인할 수 있다.

728x90
반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

CTF-D [Sans Network Forensic [Puzzle 3] #1~#8]  (0) 2021.07.08
D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [Find Key(WhiteHat)]  (0) 2021.07.04
D - CTF [tom-and-jerry]  (0) 2021.07.04
D - CTF [계속 주시해라!] 풀이  (0) 2020.10.14
728x90
반응형

패킷 파일이 주어집니다.

처음에 바로 FTP 패킷들이 보이는데, FTP로 파일을 받았는지 확인해봅니다.

 

Wh1t3H4T.zip 이라는 파일을 전송받았음을 확인할 수 있으며,

해당 파일을 간단하게 추출할 수 있습니다.

 

해당 파일을 살펴보면, flag.png가 들어있는데 암호화가 걸려있습니다.

 

패킷 파일에 ftp 패킷 외에도 다양한 패킷들이 담겨 있으니 다른 패킷들을 살펴보겠습니다.

 

ftp 통신은 192.168.146.1(server) 와 192.168.143.137 (client) 사이에서 이루어졌습니다.

192.168.146.1과 추가적으로 통신을 한 흔적이 있는 지 확인해봅니다.

 

ftp통신 이후 TLSv1으로 통신을 한 것을 찾을 수 있습니다.

해당 패킷 내용 복호화를 시도하기 위해서 인증서 내용을 추출합니다.

 

modulus값을 소인수분해할 수 있는지 알아봅니다.

 

factordb.com에서 factor를 찾을 수 있었습니다.

구한 p, q 값을 가지고 pem파일을 생성합니다.

 

 

wireshark에서 Edit > Preferences > Protocols > TLS > RSA key list에 private.pem을 추가합니다.

 

 

패킷 내용이 복호화되었으며, pw를 찾을 수 있었습니다.

728x90
반응형

'WAR GAME > [DigitalForensic] with CTF' 카테고리의 다른 글

D-CTF [DefCoN#22 #1]  (0) 2021.07.08
D-CTF [DefCoN#21 #1]  (0) 2021.07.06
D - CTF [tom-and-jerry]  (0) 2021.07.04
D - CTF [계속 주시해라!] 풀이  (0) 2020.10.14
D - CTF [Find Key(moon)] 풀이  (0) 2020.10.14

+ Recent posts