Find the flag

주어진 파일 뒷 부분에 PK 시그니쳐가 붙어있다.

When you open a given png file with HxD, you can see PK signature at the end.

zip으로 만들어서 열면 플래그가 나온다.

Rename the file .png to .zip. Then, you can get a flag!

simple_forensic

암호가 걸린 zip 파일이 주어진다.

Given zip file has locked.

브포 돌려서 비번을 찾을 수 있다.

You need to brute-force attack to find password to unlock zip.

The password is 1337.

그러면 압축파일(file.zip) 하나랑 txt파일을 하나 열 수 있다.

Then, you can get a file.zip and a txt file.

뭔가 했는데, 모스부호 였다.

In txt file, you can see only K and H. I guessed this is morse code.

H -> - , K -> . 으로 하고 돌리면 되는데,

페이크 플래그가 나온다. ㅋㅋ;;

However, it was fake flag. :p

버리고 file.zip을 보자. 암호가 걸려있는 것 처럼 보이지만, 사실은 안 걸려있다.

Send txt file to TRASH CAN. And look at the file.zip

It seems like locked file, but it isn't. You don't need to find a password.

비트 조작해주면 된다.

Just change some bits of zip file.

mandu-mandu.tistory.com/143 참고하자

(처음에 브포를 돌렸기 때문에 이런 풀이가 나올 것 같았음.)

hxd로 까보면,

이렇게 나오는데, zero-width space steganography가 적용된 것이다.

e2808b, e2808c, e2808d, e2808f

zero-width space steganography

github.com/offdev/zwsp-steg-js

를 이용하여 플래그를 구할 수 있었다.

I can get a flag using zwsp-steg-js.

Find Hangul

아무런 설명 없이 VM.E01을 던져준다.

No description for this task.... :(

you can open the VM.E01 using FTK Imager.

유저폴더 살펴보고 휴지통을 살펴보았다.

I looked at the user folder and the Recycle.Bin.

많고많은 폴더와 파일 중에서 훈민정음.docx파일을 찾을 수 있다.

You can find Hunminjeongeum.docx file in many fake files.

추출해서 열어보자.

Export and open it.

하얀글씨로 안 보이도록 하거나, 스크롤을 많이 내리도록 되어 있어서, 색상 맞춰주고 정렬해주면 한 번에 내용을 볼 수 있다.

근데 저기있는 플래그도 페이크플래그다. ㅎㅎ;

But there's no flag. h4c(hangul_choigo) is not a flag. 

docx 파일을 zip으로 만들고 열어보면 flag.png를 찾을 수 있다.

Rename .docx to .zip and then open it, you can find flag.png

청크 이름의 대소문자를 바꿔놓았다. 다 수정해주면 정상적으로 이미지를 확인할 수 있다.

Recover chunk names.

png -> PNG

Srgb -> sRGB 등.. ect...

GNP

ff d9 jpg 푸터 시그니쳐 뒤에 png 파일이 뒤집어 있다.

It's reversed!!

잘라내서 뒤집고

< flag.png xxd -p -c1 | tac | xxd -p -r > file.png

stegsolve.jar로 보면 문자열이 나온다.

Affine Cipher 돌리면 플래그가 나온다. (GUESSING!!!!)

www.dcode.fr/affine-cipher (AUTOMATIC BRUTE FORCE DECRYPTION)

Dark light (not full wirte-up)

파일 여러개가 붙어있다.

foremost를 사용해서 분리해주었다.

qr code 9개가 나오는데 값을 보면,

sorry_this_is_not_a_flag

do_you_want_a_flag?

do_you_know_Korean_proverb?

등

잔

밑

이

어둡다.

h4c(f4c3_f_a_k_e)

뭘까?

hmm hmmmmmmmmmmmmmmm

message from space (not full wirte-up)

wav가 주어지는데, sstv 문제다.

github.com/MossFrog/SSTV-Decoder/blob/master/SSTV-Complete.py

디코딩 해주면 이런 이미지가 나온다.

Password : HangulDay

어디다 써먹는 걸까

Where can i use it... :(

14461009

한글 단순 치환 암호이다.

Hangul simple substitution cipher.

1446년 10월 09일, 'ㆍ','ㅛ','ㅕ' 이 부분을 보면 한글 창제와 관련이 있는 내용으로 보인다.

치환 코드는 이 것을 이용했다.

j0n9hyun.xyz/writeups/crypto/Korean-substituation-cipher/

필,켜,녈뇩 -> 천,지,인을   부터 시작하면 된다.

어느 정도 게싱으로 때려맞춰보면, 마지막에 문제를 확인할 수 있다.

해당 문제에 대한 답을 주어진 서버로 넘겨주면 플래그를 받을 수 있다.

금융보안원 금융보안 위협분석 대회

TEAM : N0Named

fiesta.fsec.or.kr/

Stepin-1

수상한 문서 파일이 전송되었다 ! 해당 문서 파일을 분석하여라 !
대상 환경 : Windows 10 Education, Build 18362.1016

세부문제1

악성 exe가 생성되는 전체 경로를 적으시오. (파일 이름, 확장자 포함)
예시 ) FIESTA2020{C:\Ex\Path\filename.exe}

doc파일이 주어진다.

매크로를 확인하기 위해 편집사용 클릭 후 보기 > 매크로 > 매크로 보기 에서 편집을 눌렀는데 에러가 났다.

컨텐츠 사용을 클릭하였더니 런타임 오류가 나고, 디버그를 클릭하였더니 Project 암호 입력 창이 나왔다.

이 인증 과정을 우회해주기 위해서 .doc 파일을 hex 에디터로 연 뒤, DPB값을 찾아준다.

이 DPB를 DPX로 바꿔주고 .doc를 열어준다.

예

다시 매크로> 매크로 보기 > 편집 으로 들어가니 잘 들어가졌다.

디버깅을 통해서 악성 exe가 생성되는 전체 경로를 찾을 수 있다.

v3rypog

김다원 연구원은 최근 수상한 메일을 수신한 적이 있어 본인이 사용하던 PC를 확인한 결과, 의심스러운 파일을 발견했다.
의심 파일을 분석하는 과정에서 pyc 파일 까지는 획득했으나, 이후 분석을 못하고 있는 상황이다.
분석을 통해 공격을 막을 수 있는 FLAG 를 획득하시오.

v3rypog-1

C&C 통신하는 서버 전체 주소값
입력 형식 : http:// 를 포함한 전체 주소값

v3rypog.pyc파일이 주어진다.

해당 파일을 hex로만 까봐도 주소값을 확인할 수 있다.

...

정석대로 pyc파일을 decompile해주자.

일단 pyc의 헤더값은 0x42 0x0d 이다. 0x0d42 = 3394,

github.com/google/pytype/blob/master/pytype/pyc/magic.py  

즉 python3.7 버전에서 작성되었다는 것이다.

pyc 디컴파일에는 uncompyle6를 사용하면 된다. python3.7을 지원하는 uncompyle6 최신버전을 설치하고

pypi.org/project/uncompyle6/

디컴파일 해주면,

소스코드를 확인할 수 있다.

v3rypog2,3

그러나 위 코드로 브포를 돌려보면 의미있는 값이 나오지 않는다.

다시 pyc코드를 살펴보면 코드가 평문으로 들어가있는게 있다. 해당 부분 주석처리하고 다시 코드 돌려주면 의미있는 값을 구할 수 있다.

SharperGram

금융보안원에 재직중인 A씨는 평소 여행을 좋아하여 외국으로 여행을 자주 다니는 편이다. 
올해도 마찬가지로 여행 계획을 세우는 A씨는 최근 항공사로부터 항공권 관련 메일을 받게 되었고, 메일의 첨부파일을 확인한 A씨는 얼마 지나지않아 자신의 메일 계정 정보등이 유출된 사실을 알게되었다. 
A씨의 정보가 어떻게 유출되었는지 메일을 분석하시오.

SharperGram-1

메일 최초 발신자 IP, 도메인과 해당 도메인의 최초 등록자 정보를 조사하시오. (발신IP_발신도메인_도메인등록자이름(공백없이)_도메인등록국가코드) e.g.) 0.0.0.0_domain.tld_JohnSmith_KR

eml 파일이 주어진다. Outlook으로 열 수 있는데 발신자는 ticket-mailer@discountbok.com 이다.

-도메인 : discountbok.com

eml파일을 HxD로 열어서 해당 도메인을 검색하면 ip주소를 찾을 수 있다.

- ip주소 : 184.168.221.37

그리고 도메인의 최초 등록자 이름과 국가를 구하기 위해서 아래 사이트에 도메인을 검색해보았다.

whois-history.whoisxmlapi.com/lookup-report/x923eoolk7

2015년 7월 기록에서 이름과 국가를 찾을 수 있다.

flag : 184.168.221.37_discountbok.com_LannyTyndall_CN

SharperGram-2

추가 악성코드 다운로드 주소 및 저장되는 위치를 조사하시오.
저장되는 위치는 사용자마다 다르므로, 사용자명 이후의 경로부터 서술 (악성코드 유포지_저장경로)
e.g.) http://0.0.0.0/uri/dedf?a_\Dir\Dir2\filename.ext

해당 메일 첨부파일에는 i-Ticket.xls 엑셀 파일과 해당 엑셀 파일의 패스워드가 적힌 이미지 파일이 있다.

xls파일을 다운받아 실행한다. 패스워드를 입력해주고, 악성코드가 실행될 수 있도록, 편집 사용 -> 컨텐츠 사용을 차례로 눌러준다.

이후 분석이 간편하도록 파일 잠금을 해제한다.

파일 > 정보 > 통합 문서 보호 > 암호 설정 에서 암호 전부 지우고 확인

매크로를 확인하기 위해 보기> 매크로 > 매크로 보기 로 이동하였으나, 보이는 매크로는 없었다.

이미지를 클릭해보면 좌측상단에 러시아어3가 보인다. 

asec.ahnlab.com/1232

위 내용과 유사하다.

최하단 Sheet1을 우클릭하여 코드보기를 클릭하면 저장된 매크로 코드를 확인할 수 있다.

코드를 분석해보면, 추가 악성코드 파일을 다운받아오는 서버 주소와, 다운로드 경로를 확인할 수 있다.

Application.StartupPath 는 디버깅을 통해서 찾을 수 있었다.

flag : http://54.180.66.177/xe_\AppData\Roaming\Microsoft\Excel\XLSTART\nc.exe

SharperGram-3

악성코드가 C2와 통신할 때 사용하는 토큰과 채널, 그리고 암호화 키값을 조사하시오.
(토큰값_채널값_암호화키값)
e.g.) token_channel_key

이제 위에서 다운받은 nc.exe를 분석하는 단계이다.

nc.exe를 실행하게 되면 유저 폴더에 .txt 파일이 생성되며 유저가 입력한 키 값을 저장하고 .fiesta 확장자로 바뀌며 암호화 되는 과정을 반복하는 것을 확인할 수 있다.

nc.exe는 ConfuserEx로 패킹이 되어 있다. 

ConfuserEx 언패킹 도구로 nc.exe를 언패킹 해주면 

이렇게 분석할 수 있는 상태가 된다.

.NET으로 작성되었으므로 dnSpy를 사용하여 디버깅 해주도록 한다.

리퀘스트를 날리는 부분인데, 이곳에 bp를 걸어서 url값과 password 값을 알아내면 된다.

텔레그램 봇 url이 나오는데, bot: 이후가 봇의 토큰값이다.

token : 1156639839:AAELhN58xW07HE7pTwV0hLep_goctDXN4CE

채널 : 483139644

키 : F13stA-e0e0-k3y

flag : 1156639839:AAELhN58xW07HE7pTwV0hLep_goctDXN4CE_483139644_F13stA-e0e0-k3y

PowerShellcode

A사의 침해대응 담당자인 김과장은 다수의 사내 PC에서 부팅시 업데이트 알림이 뜬다는 신고를 받고 조사에 착수한 결과, 수상한 파워쉘 실행 로그를 확인했다. 발견된 파워쉘 스크립트를 분석하시오.

PowerShellcode-1

악성 스크립트는 특정 타겟을 대상으로 동작한다. 타겟을 분석하여 첫번째 플래그를 획득하시오. (타겟도메인_타겟국가_동작시점, ex: test.com_japan_20201231)

.ps1으로 된 파워쉘 코드가 주어진다.

난독화가 되어 있다.

잘 복호화하다보면 ps코드를 외부에서 하나 더 다운받아온다.

그 코드를 다시 복호화해보면 의미있는 값을 찾을 수 있다. 

flag : secuholic.com_korea_20200707

PowerShellcode-2

악성 스크립트는 최초 감염시 C2서버에 전송할 수 있는 명령어 목록을 받아온다. 명령어 목록을 분석하여, 두번째 플래그를 획득하시오.

코드 분석해보면 또 코드 외부에서 받아서 실행하는 코드가 있다.

코드 복호화 해보면서 실행흐름을 따라가 보면,

c2서버와 통신하는 루틴이 나온다.

apitester.com/

받아온 명령어는 : infect, getmsg, getflag 이고

사용한 명령어는 : IRIMFxIi, GwceHyIP 이다.

코드 돌려보니 맞았다.

그래서 getflag를 위 루틴으로 인코딩 후 리퀘

파워쉘 코드를 얻을 수 있는데, 그대로 파워쉘에 입력하면, MsgBox 형태로 flag가 출력된다.

PowerShellcode-3

C2서버에서 data에 전달되는 xml값을 파싱한다. 여기에 취약점이 있고, xxe를 시도해 보았다.

payload : 

(255.255.255.255에는 개인 서버 주소)

ext.dtd :

이렇게 하면 index.php의 소스코드를 릭할 수 있다.

index.php에서 ./_readme_only_admin.php에 플래그가 있는 것을 알려준다.

_readme_only_admin.php의 소스코드를 릭해보면:

flag 값을 구할 수 있었다.

(응답서버로 값이 넘어 온 것은 아니고, c2서버 response에서 오류메세지에 플래그가 같이 딸려 나왔다.)

PayDay

금융회사 임직원 A씨는 여느 달과 같이 카드 이용 대금명세서 메일을 수신하였고 결제금액 및 상세 이용내역을 확인하기 위해 첨부문서(html)를 열람하였다. 보안 프로그램을 설치하고 생년월일을 입력하려는 순간 화면이 잠기고 키보드가 먹통이 되어 PC를 사용할 수 없게 되었다. 이를 해제하기 위해서는 Flag값을 입력해야 한다는 메시지박스가 생성되었다.

A씨는 즉시 정보보호부에 피해 사실을 신고하였다. 정보보호부 내의 CERT 팀은 추가 피해를 방지하고 업무연속성을 유지하기 위해 분석 작업을 시작하였다.

PayDay-2

암호화된 쉘코드를 실행하기 위해 C2 서버에서 수신한 문자열을 일련의 루틴을 거친 후 AES 복호화에 사용하는데, 이 때 사용되는 키값은? (0x 제외하고 Hex값 형태로 입력)

html 파일이 하나 주어진다.

코드를 정렬해주었다. (2번 문제를 푸는데에 상단 코드의 내용은 필요 없어서 제외했다.)

a, c, b, d 함수 순서대로 실행하는데, d 함수에 있는 변수들의 인코딩을 풀어보면, 

이렇게 나오게 되고, c변수를 보면, p.exe파일을 다운로드 받아오는 것을 알 수 있다.

해당 파일을 다운로드 받아 분석을 시작한다.

올리디버거로 열어서 문자열들을 확인해 보면, AES, CBC, url 등이 보인다.

이 프로그램에서 aes 복호화가 일어남을 알 수 있다.

ida에서 메인함수 마지막 부분을 보면, for문이 16번 돌고 마지막에 sub_402361 함수 하나를 실행하는 것을 볼 수 있다.

aes 키는 16바이트 임으로 위 for 루틴이 키 생성 과정이고 마지막 함수가 복호화를 하는 함수라고 유추해 볼 수 있다.

해당 함수를 콜하는 주소인 5bc4에 bp를 걸고 디버깅을 했다.

그리고 해당 함수에 인자로 넘어가는 값에서 키값을 확인할 수 있었다.

2020 Defenit CTF Write-up 6/5 09:00 ~ 6/7 09:00 (UTC, 48h)

Forensic

Baby Steganography

I heared you can find hide data in Audio Sub Bit. Do you want to look for it?

.wav 파일이 주어진다. 문제 지문을 보면 Audio Sub Bit에 데이터를 숨긴다고 한다.

Audio Sub Bit...

Sub Bit...

SB...

LSB?

LSB가 아닐까 생각을 해보고서 바로 구글링을 했다.

https://medium.com/@sumit.arora/audio-steganography-the-art-of-hiding-secrets-within-earshot-part-2-of-2-c76b1be719b3

Audio Steganography : LSB

포스트를 내리다보면 Python으로 작성된 Decode 코드가 있다. 바로 긁어다가 실행해 보았다.

Sucessfully decoded: Defenit{Y0u_knOw_tH3_@uD10_5t39@No9rAphy?!}

결과는 대성공.

Misc

QR Generator

Escape from QR devil!

nc 연결을 하자.

1과 0으로 된 qrcode를 보내준다.

하얀배경 이미지를 불러와서 값이 1이면 해당 위치의 픽셀의 값을 검정으로 바꾸도록 코드를 쓱-싹 작성해 준다.

하얀배경 이미지는 포토샵을 이용한다. 넉넉하게 200px*200px

그러면 이러한 qrcode 이미지를 만들어 낼 수 있다.

(제공되는 qrcode 크기가 제각각 이어서 배경 이미지의 크기에 여유를 주었다. 인식하는데에는 문제가 없었다.)

이제 이 qrcode를 decoding해서 보내주기만 하면 된다. 그러나 이 과정에서 삽질이 있었다.

이 qrcode이미지를 디코딩하는 방법에는 여러가지가 있다.

qrcode를 디코딩해주는 사이트에 리퀘스트 날려서 크롤링하는 방법. (이미지 보내고 크롤링 해야되는 무조건 버리고)

파이썬 모듈을 이용해서 디코딩 하는 방법.

qrcode를 디코딩할 수 있는 파이썬 모듈에는 여러가지가 있었다.

먼저 qrtools.

$sudo pip3 install qrtools

      qr = qrtools.QR()

AttributeError: module 'qrtools' has no attribute 'QR'

음? (오류 1스택)

파이썬 2로 다시시도..

$sudo pip install qrtools

import qrtools
ImportError: No module named qrtools

??????? (오류 2스택)

다음 시도한 것이 qrcode

 d = qrcode.Decoder()
AttributeError: module 'qrcode' has no attribute 'Decoder'

문서에서는 이렇게 쓰라고 나와있었는데 뭐지..(오류 3스택)

pyzbar를 사용해볼까

>>> decode(img)
[]

도대체 되는게 뭡니까(오류 4스택)

$ sudo pip3 install pyqrcode

$ sudo apt-get install python-qrtools

>>> import pyqrcode
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
ImportError: No module named pyqrcode
(오류 5스택)

>>> import qrtools

>>> qr = qrtools.QR()

>>> qr.decode("./TransparentImage.png")
False

(오류 6스택)

AttributeError: module 'pyqrcode' has no attribute 'Decoder'

(오류 7스택)

...

웹으로 해결할까 생각이 들어서 테스트때 디코딩에 성공했던 ZXng Decode Online에 들어가봤다.

https://zxing.org/w/decode.jspx

하단 내용을 보면 오픈소스 프로젝트라고 써있다.

혹시 파이썬 모듈도 있나 들어가봤다.

있다.

바로 설치.

>>> from pyzxing import BarCodeReader

>>> reader = BarCodeReader()

>>> results = reader.decode( './TransparentImage.png')

>>> results
[{'filename': 'file:///home/mandu/Desktop/p/./TransparentImage.png', 'format': 'QR_CODE', 'type': 'TEXT', 'raw': '0pXenF4L00pza6n9XO45WjUvM4RvBUuoQICQAraBTh1rJIBeYUpxxJFNFsGOQ7DFNZ67QzuP0fNzl8of6j3wfObKWkRuUO1xrn2iMLQl7KCBJ6waeBboITBQRPDYtZUmQmHHa85ll4J', 'parsed': '0pXenF4L00pza6n9XO45WjUvM4RvBUuoQICQAraBTh1rJIBeYUpxxJFNFsGOQ7DFNZ67QzuP0fNzl8of6j3wfObKWkRuUO1xrn2iMLQl7KCBJ6waeBboITBQRPDYtZUmQmHHa85ll4J', 'points': [(3.5, 49.5), (3.5, 3.5), (49.5, 3.5), (46.5, 46.5)]}]
>>> results[0]['raw']
'0pXenF4L00pza6n9XO45WjUvM4RvBUuoQICQAraBTh1rJIBeYUpxxJFNFsGOQ7DFNZ67QzuP0fNzl8of6j3wfObKWkRuUO1xrn2iMLQl7KCBJ6waeBboITBQRPDYtZUmQmHHa85ll4J'

성공.

Minesweeper

Can you solve the minesweeper in one minute?

1분안에 지뢰찾기를 성공하면 되는 문제.

이런식으로 칸이 주어지고, a1을 입력하면