M4ndU의 만두만두한 블로그

Secret Document - Forensics

A Classified.docx file is given.

However, this files is not docx file.

This file is pcap file.

Rename .docx to .pcapng, then convert pcapng to pcap (https://pcapng.com/) (for using networkminer).

Open a Projan.pcap with networkminer.

The windows Defender detect a malware.

Upload goog1e_born_help.exe to virustotal.

ponmocup

ImposterApp - forensics

A memdump file is given.

Win8SP0x64

chrome, ie ,cmd, powershell, calc

-> chromehistory, iehistory, cmdscan, clipboard ... : nothing

calc.exe is suspicious.

procdump -p 2816

flag.

Sans Network Forensic [Puzzle 3] #1~#8

MAC주소는 여기에서 확인할 수 있다.

192.168.1.10의 http request 패킷을 확인한다.

http 필터를 걸고 search 관련 페이지에 파라미터 명이 q인 query가 넘어가는 것을 확인할 수 있다.

q에 검색내용이 담기므로 networkminer를 돌려서 해당 파라미터에 들어간 값들만 모아볼 수도 있다.

hack, sneak, iknowyourewatchingme 3개밖에 안보였는데 답이 h, ha, hac, hack 이란다.. 쩦

hack을 검색한 이후 패킷에서 찾을 수 있다.

307번 패킷에 대한 response 페이지 312번 패킷에 follow > HTTP stream 에 들어가서

preview를 검색했더니 나왔다.

처음에 hacker찾았던 패킷을 기준으로 info 정렬했더니 나왔다.

5번 문제처럼 하면 된다.

이 내용은 이미 #1 풀면서 구했다!

pcap파일이 주어진다.

networkminer로 messages탭을 살펴보면

이메일 내용을 확인할 수 있다.

snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.

따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.

Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.

172.29.1.23에서 172.29.1.20로 직접 전송되었다.

해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.

pcap 파일이 주어진다.

networkminer로 해당 pcap파일을 열어서 messages부분을 확인해보면 문제 지문에서 언급된 betty가 나오는 메세지 내역을 확인할 수 있다.

인코딩된 뒷부분은 그냥 ascii로 변환해주면 된다.

How does Wednesday sound?
Great :) what time?
ah 2pm
Ok, I can't wait!

답은 Wednesday 이다.

해당 메세지들이 어떤 패킷에 어떻게 들어가 있는지를 확인해보기 위해서

wireshark로 먼저 7번 패킷을 확인해 보았다.

IRC 프로토콜을 사용하며, Request/Response형태로 메세지를 주고받는 것을 확인할 수 있다.

패킷 파일이 주어집니다.

처음에 바로 FTP 패킷들이 보이는데, FTP로 파일을 받았는지 확인해봅니다.

Wh1t3H4T.zip 이라는 파일을 전송받았음을 확인할 수 있으며,

해당 파일을 간단하게 추출할 수 있습니다.

해당 파일을 살펴보면, flag.png가 들어있는데 암호화가 걸려있습니다.

패킷 파일에 ftp 패킷 외에도 다양한 패킷들이 담겨 있으니 다른 패킷들을 살펴보겠습니다.

ftp 통신은 192.168.146.1(server) 와 192.168.143.137 (client) 사이에서 이루어졌습니다.

192.168.146.1과 추가적으로 통신을 한 흔적이 있는 지 확인해봅니다.

ftp통신 이후 TLSv1으로 통신을 한 것을 찾을 수 있습니다.

해당 패킷 내용 복호화를 시도하기 위해서 인증서 내용을 추출합니다.

modulus값을 소인수분해할 수 있는지 알아봅니다.

factordb.com에서 factor를 찾을 수 있었습니다.

구한 p, q 값을 가지고 pem파일을 생성합니다.

wireshark에서 Edit > Preferences > Protocols > TLS > RSA key list에 private.pem을 추가합니다.

패킷 내용이 복호화되었으며, pw를 찾을 수 있었습니다.

cat.pcapng 파일이 주어진다.

usb cap이다.

DESCRIPTOR  Response DEVICE 패킷을 확인해보면, wacom 펜 타블렛임을 확인할 수 있다.

tshark를 이용해서 데이터를 추출한다.

tshark -r ./Cat.pcapng -Y 'usb.capdata && usb.data_len == 9' -T fields -e usb.capdata > usbPcapData

데이터는 이러한 구조를 가지고 있다고 한다.

Example:
02:f0:50:1d:72:1a:00:00:12
Bytes:
02:f0: -- Header
50:1d: -- X
72:1a: -- Y
00:00: -- Pressure
12 -- Suffix

x, y 좌표값에 대한 데이터를 추출하여 좌표평면에 표시하면 된다.

z=0 필압이 없는 경우를 제외하기 위해 z값도 추출

awk -F: '{x=$3$4;y=$5$6}{z=$7}$1=="02"{print x,y,z}' usbPcapData > xydata

wacom_decode.py

z가 0인 경우를 제외하며, xy값을 10진수로 표현

python wacom_decode.py > out.txt
gnuplot
plot "out.txt"

png로 export이후 

convert -flop flag.png flag-f.png

이미지 좌우반전

Forensics

What App is on Fire?

Open chall.E01 with FTK Imager

In Recycle.Bin, i found meaningful data in two txt files.

and

But there is a flag.txt (not flaag.txt) in Desktop/ and it has fake flag.

Likewise, there is only zero size flag.bmp in Documents/my content/ .

So, I used NTFS log tracker to find location where flaag.txt and credentials.txt were moved.

$RVL2F46.txt was flaag.txt

and it's fake flag :) hehe.

Next!

credentials.txt was zipped and renamed to $R002W8L.txt (moved to Recycle.BIN).

credentilas.zip was deleted.

and $R002W8L.txt is zero size in given E01 file.

flag.bmp is meaningless.

haha :)

IE history modified log between credentials.txt logs.

IE history :

hmmmmmm..............

--------

[add something after ctf ends.]

왜 저 credentials.zip .txt 를 붙잡고 있었지.. 문제 제목에서도 whatsapp 써먹는거 알 수 있는데..

at first, Investigate chats from WhatsApp messages DB.

--------

Next! i checked firefox history.

I think flag is in there.

But it need id and pw.

id and pw were stored in logins.json and they were encrypted.

To decrypt them, 

create new profile

move logins.json and key4.db to new profile folder

start firefox

yeah!

?????????????

oh, another login page is at ./ and i use same account to login.

then i got half of flag.

babycrypto1

영어로 쓸려 했는데 뭔가 쉽게 안써진다..

test command cipher text가 주어지고,

동일한 aes key를 사용하는, vi를 입력해서 cipher text를 만들 수 있는 거가 있다.

50행에서 토큰은 그대로 사용되기 때문에 앞쪽 블록은 그대로 사용하고 command만 들어가있는 마지막 블록만 생각하면 된다.

마지막 블록을 변화시키면 cipher text의 마지막 블록에만 변화가 생기는데, 이를 이용하여 "show" 가 들어간 암호화된 블록을 만들어 바꿔치면 된다.

마지막 블록을 만들 때  plain text와 xor 하는 것을 vi로 보면, vi는 cipher text N-1번째 블록값이 된다.

plain text 를 "show"로, vi를 cipher text 마지막 블록을 넣어 cipher text 한 블록을 만들어서

처음 주어진 test command cipher text의 마지막 블록과 바꾸어서 넣어주면

복호화 과정에서 앞 블록은 그대로이기 때문에 token은 그대로 복호화가 되고 마지막 블록은 show로 복호화가 이루어 진다.

babycrypto2

1과 다른 점은 COMMAND가 맨 처음 블록으로 이동하였고, encryption 과정이 없다는 것이다.

어차피 cipher text의 앞 블록이 바뀌면 그 다음 블록에도 영향을 주기 때문에 블록 바꿔치기는 안된다.

다만 decryption 과정을 보면, 맨 앞블록은 block cipher decryption 이후에 IV와 xor을 수행한다.

그리고 복호화에 사용할 IV값은 우리가 넣어줄 수 있다. 이 IV 값을 바꿔주어 맨 앞 plaintext가 우리가 원하는 값이 되도록 하면 된다. ciphertext는 그대로 사용할 것이기 때문에, block cipher decryption의 결과값은 고정이다.

원래의 복호화 과정을 생각한다면, IV에는 처음 제공되는 IV값이 들어가며, block cipher decryption의 결과값은 IV xor plaintext(test)이며, 우리가 원하는 plaintext로 만들어주는 IV값은 IV xor plaintext(test) xor plaintext(show) 가 된다.

다만 plaintext(show)를 만들 때 앞의 PREFIX값과 뒤에 token 3byte를 생각해야 한다.

그렇게 해서 IV값을 만들어서 IV + data 복호화 돌려주면 된다.

Forensics

스테가노

Anime is love

There is a zip file at end of jpg file (jpg file footer signature).

Fix the header signature.

it is encrypted. So, find password using ARCHRP with rockyou.txt which is dictionary file for dictionary attack.

flag.txt

it is pdf file

and it's locked.

good.

Telephone

github.com/ribt/dtmf-decoder

convert m4a to wav to use dtmf-decoder

hmm...

b1n4rY

bin to hex

make a file "a.data"

open with GIMP

scan it!

Web

Sanity Check 2

at ./

base64 -> ascii -> caesar cipher

C is hard

bof

ez

Forensics

SHIFT

anyconv.com/ko/png-to-raw-byeonhwangi/

png to bmp

rename .bmp to .data

open with GIMP

width 5261

Doubly Deleted Data

Sandwiched

You can see that there are several pdf files, and you can see that there is a jpg file in between.

However, jpg's footer signature can be found far away.

There are parts of the jpg file between the pdf files.

The extracted jpg file had a flag.

OSINT Part 1

search name in twitter

OSINT Part 2

google image search

Small P Problems

Diffie–Hellman

github.com/DrMMZ/Attack-Diffie-Hellman/blob/master/AttackDH.py

Beginner

Various Vernacular

quipqiup.com/