반응형
반응형
반응형

압축을 풀면 파일이 하나 나온다.


[Forensic] Leakage of confidential Project.E01


hex로 보았을 때 for 50 문제와는 다르지만 문제에서 이미지 파일이라고 했기 때문에 이번에도 Access Data 의 FTK Imager로 열어보았다.


정상적으로 열렸다. 유저가 '박코드' 라는 사람이라서 유저폴더에 OxCODE 폴더에 들어간다.


메세지를 주고받는 프로그램들을 모두 살펴보아야 하는데 윈도우 기본 앱이라고 해도 감을 못잡았다가 나중에 메일 앱이라는 힌트를 보고 메일이 저장되는 경로를 검색해 보았다.


메일 앱의 메일은 Users\[유저이름]\Local\Comms\Unistore\data\3 폴더에 저장된다고 한다.


해당 경로로이동하면 a 부터 p 까지의 이름이 붙은 폴더들이 존재하고 그 중 a,d,e,g,h,j,k,m,n,p 폴더에 .dat 확장자를 가진 파일이 있다.


xml로 보면 될거 같아 확장자명을 xml로 바꾸고 인터넷 브라우저로 보았다. 그러면 데이터가 한글로 바뀌여서 읽을 수 있게 된다.

그러나 창에 뜬 내용만으로는 부족하거나 표시가 안되기도 하기 때문에 소스보기로 내용을 봐야 한다. 그러면 저장된 내용을 다 확인할 수 있다.




n폴더에 담긴 내용에 프로젝트 파일 다운로드 링크가 있으며


p폴더에 파일을 열 비밀번호가 있다. 비밀번호를 이용하여 문서를 열어보면 맨 밑에 FLAG가 있다.


FLAG : YISF{S0ME_W1ND0WS_4PP_HA5_EVIDENC3_A8OUT_U5ER'S_BEHAVI0R}




반응형

'CTF Write Up' 카테고리의 다른 글

CRC CTF 2017 Write-up  (0) 2017.09.13
Tokyo Westerns CTF 3rd 2017 write up  (0) 2017.09.04
[YISF CTF 2017 예선] For 50 , '문제유출'  (0) 2017.08.11
[Bugs_Bunny CTF] Crypto-50  (0) 2017.07.31
[Bugs_Bunny CTF 2017] Crypto-15  (0) 2017.07.31
반응형

순천향대학교 청소년 정보보호 페스티벌


포렌식 50점 문제


해당 문제는 용량 때문에 당일날 몇 시간전에 사전 배포되었다.



문제 내용은 대회가 끝나버리면서 스샷을 저장하지 못했다...





대회가 시작되고 공개된 비밀번호로 압축을 풀어준다.


[Forensic]Leakage of Challenges.ad1


FxD로 열어보니 


41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 00   ADSEGMENTEDFILE.

 

으로 시작한다.


AccessData의 FTK Imager 으로 열어보면 된다.


문제에 웹 브라우저를 사용했다라고 되어있었고 크롬이 설치되어 있으므로 크롬의 데이터들을 찾아 보았다.


일단 방문기록을 확인해본다.

G:\Forensic 50\Users\InJung\AppData\Local\Google\Chrome\User Data\Default

에서 History 파일에 저장되어있다.


이 파일은 DB Browser for SQLite로 열어볼 수 있다.


urls 테이블을 보면 특정 사이트로 추정되는 http://www.nonamed.xyz 를 찾을 수 있다.

해당 사이트에 들어가면 여러 게시물들이 뜬다. 




(이때 flag값을 얻을 수 있을 것이라 생각했지만...)

5번째 글은 비밀글로 되어있었다... ID와 PW를 얻기 위해 방문기록을 얻었던 같은 디렉토리에서 Login Data를 추출해서 확인을 해보았다.

ID는 얻을 수 있었지만 PW는 암호화되어 있었다.


이 암호화된 PW를 decrypt 하기 위해 많은 삽질을 했었다..

OSForensics라는 프로그램을 설치하고 비밀번호를 알아내려고 했다. 내 크롬에 저장되어있는 아이디와 비밀번호가 잘 표시되길레

문제에서 추출했던 Login Data를 내 것과 바꿔치기 해서 재시도를 해보았다. 될 것이라 생각했는데 decrypt 실패라고 떴다.

왜지..라고 생각하다가 유저폴더를 통째로 추출해서 내 컴의 유저 폴더에 집어넣고 재시도 했더니 decrypt가 되버렸다.





이렇게 얻은 ID 와 PW를 사용하여 사이트에 로그인하면 비밀글을 확인할 수 있다.



FLAG : YISF{SOme7imes_W3bBr0w5er_St0r3d_y0uR_Pa$$worD!}



반응형

+ Recent posts