M4ndU의 만두만두한 블로그

SuNiNaTaS의 31번문제 풀이입니다. 

[FORENSIC]

http://ex3llo.tistory.com/33 게시글을 참고해서 풀어보았습니다.

https://blog.didierstevens.com/programs/pdf-tools/ 에서 pdfid.py를 다운받았습니다.

pdfid.py를 사용해 pdf 문서 구조를 확인했다. JavaScript 코드가 있는 것을 확인할 수 있다.

이제 이 자바스크립트 코드를 확인하기 위해 peepdf.py를 사용했다. 

이 peepdf.py는 https://github.com/jesparza/peepdf 에서 다운받을 수 있습니다.

-i 옵션을 꼭 넣자.

먼저 30을 확인해 보았다.

코드가 나올 때 까지 쭉 쫓아가자..

37에서 코드가 나왔다!

이어서 해보자.

36에는 아무것도 없다... 39에 %PDF가 보인다.

object 39에 pdf파일이 있는 것 같다. 이를 추출하기 위해 PDFStreamDumper.exe를 사용했다.

(이 프로그램을 보니 처음부터 이걸 사용했으면 되는게 아닌가 하는...읆...)

object 39을 pdf형식으로 추출했다.

pdf가 보호되어 있어서 https://smallpdf.com/unlock-pdf 이 사이트를 통해 잠금을 풀었다.

다시 PDFStreamDumper.exe 를 사용하니 object 7에서 플래그가 나왔다.

MD5(SunINatAsGOodWeLL!@#$) == 13d45a1e25471e72d2acc46f8ec46e95

files → Forensics → Password

system32.kr의 Password 문제 풀이입니다.

zip파일이 주어진다.

윈도우 프로세스 덤프파일로 보인다.

이 프로세스 덤프파일에서 패스워드를 찾아야 한다.

일단 어디에 있는지를 몰라서 검색해봤다.

"윈도우 패스워드 프로세스"

갓 구글.. 원하는걸 딱 보여준다.

패스워드는 lsass.exe에 있는 것 같다.

lsass.exe를 덤프한 lsass.DMP만 따로 뺐다.

mimikatz를 이용하면 윈도우 패스워드를 알 수 있다.

lsass.DMP파일을 mimikatz.exe 경로로 옮겼다.

mimikatz.exe를 실행하고 다음 명령어를 입력해 주었다.

만약 오류가 나면 아래를 참고하자.

플래그를 구할 수 있다.

FLAG : FLAG{I_WILL_FIND_PASSWORD}

files → Forensics → CMD

system32.kr의 CMD 문제 풀이입니다.

압축파일이 하나 있는데, 압축을 풀면 1GB짜리 파일이 하나 나온다.

써니나타스 30번의 문제파일이랑 형태가 거의 같은 것 같아서

메모리 덤프 파일임을 확신하고 vol.py를 쓰기 위해 파일을 리눅스로 옮겼다.

먼저 시스템정보를 확인했다.

Win7SP1x86 이다.

어디서 무얼 찾아야 하나 생각하다가 파일이름이 cmd라서 cmdscan을 사용해 봤다.

역시나 플래그가 있었다.

FLAG : FLAG{CMD_LINE_CAN_YOU_FIND?}

SuNiNaTaS의 29번문제 풀이입니다. 

[FORENSIC]

다운로드 링크로 들어가면 무려 3.4GB짜리 파일이 있다. 다운받자

파일 시그니처를 보니 EGG파일이다. egg로 열자.

열어보니 vm파일들이 있다.

압축을 풀고 vmx확장자를 가진 파일을 실행하면 vmware가 실행되며 windows7 이 부팅된다.

띠용 빨리 cmd켜서 shutdown /a 명령어로 재부팅을 중단했다.

아마 hosts파일이 변조된 것 같다. hosts파일 경로는 C:\Windows\System32\drivers\etc\hosts 이다.

음..? hosts파일이 원래 txt파일이었나?

아니다.

폴더 옵션에서 숨김파일 표시, 확장자명 표시로 변경해 주었다.

나왔다.

what_the_he11_1s_keey

키로거를 찾아야 한다.

키로거를 설치한 흔적이 최근 위치를 보면 알 수 있을 것이다.

오 여기 관련 이미지파일들이 있다. 아마 키로거 프로그램이겠지

이미지에 나온 경로를 따라가 보자.

여기 찾았다.

c:\v196vv8\v1tr0.exe

IE의 방문기록을 확인하면 될 것 같다.

BrowsingHistoryView라는 프로그램을 사용했다.

검색기록 보는 프로그램은 널리고 널렸다...

찾았다.

2016-05-24_04:25:06

키로그가 기록된 파일을 찾으면 된다.

이것저것 열어 보다가 찾았다.

z1.dat파일에 있었다.

blackkey is a Good man

what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man

클리어!

SuNiNaTaS의 28번문제 풀이입니다. 

[FORENSIC]

암호가 걸린 압축파일이 있다.

근데 문제내용을 보았을 때 "brute force가 필요없다","암호가 있기나 한건가!"를 보면 암호는 없는 것 같다.

근데 비밀번호를 입력하라고 창이 뜬다.

아마 암호가 걸려있다 라고 표시해주는 값이 있기 때문일 것이다.

그 값을 암호가 안걸려 있다 라고 변경해주면 압축이 풀릴 것이다.

이 부분이 암호화여부를 나타낸다고 한다.

hex로 09 08로 되어있는데 09 08을 모두 찾아서 00 00으로 바꾸었다.

안에서 나온 키를 base64로 디코딩하면 된다.

SuNiNaTaS의 26번문제 풀이입니다. 

[FORENSIC]

빈도분석(frequency analysis)를 통해 이 암호문을 복호화해야 한다.

띄워쓰기랑 문장부호가 모두 빠져있어서 직접 풀기엔 많은 노가다가 필요할 것 같다..

이를 자동으로 풀어주는 온라인 툴이 있다.

authkey ; kimyuna

SuNiNaTaS의 21번문제 풀이입니다. 

[FORENSIC]

음.. 일단 사진을 다운받자

jpg파일치고 용량이 좀 큰거같다.

foremost를 이용해서 다른 파일들이 합쳐져 있는지 확인해 보았다.

역시나 있었다.

jpg파일이 6개나 나왔다.

이제 키값을 알 수 있다.

H4CC3R_IN_TH3_MIDD33_4TT4CK

SuNiNaTaS의 19번문제 풀이입니다. 

[FORENSIC]

BIN to String

CAESAR Cipher 

shift 9

대문자로 입력해 주자

SuNiNaTaS의 18번문제 풀이입니다. 

[FORENSIC]

복호화하면 되겠지..

일단 DEC to STRING

VG9kYXkgaXMgYSBnb29kIGRheS4gVGhlIEF1dGhLZXkgaXMgVmVyeVZlcnlUb25nVG9uZ0d1cmkh

뭔가 base64일거 같다.

맞았다.

SuNiNaTaS의 15번문제 풀이입니다. 

[FORENSIC]

파일에 키가 있다고 한다.

띠용. 속성> 자세히에 key값이 있다.