반응형
반응형
반응형

Title
Hello, Android!

Description


일단 파일들을 보니 안드로이드 앱은 아닌 것 같다.

압축파일의 파일명인 avd를 검색해 보았다.




안드로이드 가상 기기. 가상머신 같은건가 보다.



avd를 사용하기 위해선 avd manager가 필요하다고 한다.

근데 이게 android-studio 프로그램에 내장되어 있다.


http://www.androiddocs.com/sdk/index.html 여기에서 다운받자.


설치 중간에 JDK가 필요하다고 뜬다. http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html 여기에서 다운받아 설치하자. 64비트/32비트

10버전 사용하면 오류난다.




avd 설정 파일들을 확인해 보았다.


config.ini


OS는 android-10, cpu 아키텍쳐는 arm, abi는 armeabi를 사용한다.




정보는 확인했으니, android studio에서 avd manager를 실행한다.



tool > android > AVD Manager




Create a virtual device




아무거나 선택하고 넘긴다.




android-10는 gingerbread이다. abi는 armeabi를 선택해야 하는데 처음에는 보이지 않는다. armeabi-v7a를 다운로드 받았더니 armeabi도 다운로드 되어졌다. 

OS를 맞췄으면 넘긴다.  그리고 FINISH를 눌러 생성.


이제 C:\Users\사용자명\.android\avd\기기명.avd 이 경로로 이동하여 파일을 모두 아까 문제파일들로 교체해준다.



그리고 실행




실행하면 잠금화면에 authkey가 있는 걸 알 수 있다. 그런데 패턴에 가려져 있는데다가 패턴을 모른다...


adb를 이용해서 잠금화면을 추출해야 한다.



디바이스가 잡힌다.



adb pull /data/data/com.android.settings/files/wallpaper output경로

를 입력하면 추출된다.





authkey : U5i_ng_ad_b_is_v2ry_e5_sy


반응형

'WAR GAME > XCZ.kr' 카테고리의 다른 글

XCZ.kr [prob 6] 풀이  (0) 2018.09.09
XCZ.kr [prob 5] 풀이  (0) 2018.09.09
XCZ.kr [prob 3] 풀이  (0) 2018.09.05
XCZ.kr [prob 2] 풀이  (0) 2018.09.05
XCZ.kr [prob 1] 풀이  (0) 2018.09.05
반응형

Title
I don't speak English.

Description

Serz EKW. Log sal tdl iaoi nif tpec, ouf gcpugvgag fu tuk NgsGunk sggik, qbmq 28 siyrxgl bf kuu ugkw untoneq zww tvdqu fbx waq uisnll gsvgptube fucy, “Ennstaz Yiqjr” iz zhr sdfru sutcr oi oyf ubronjtv. Uuixk tuk Hgsgh Wurrgc hcefaxmrx pfb eemrige IN hhdsk if rxlrye wtojt dmrfipk os nxk mjn ouuazgq, “Ennstaz Yiqjr” azj igy lwged, iunqkgxsylk cagiwszye hodru xk lbw m ieezxxgrd hornr war.

(ZODK: Lvyiwl: 13 Oeez Iajxw Qbnsy os Yjekrr)

Yacu uu lfr vujeb ltsrhrqy PFE gabvns gn vtkaqvbxk hbxhw ruraagu zww qgrqktf uu lfr Squuy’y Vsltnms dvyijgpt, inipn vatrs kuu n vgwrgy suoq ytfqr or zhr iaan’f tatghk-xf-aueqq vvht. (Al saoz, tuk kabro tgs fvpjird m jaait upnzq, gpgrn uyylqj “tuk xftvsuhlr ndjqr.”) “Gmtgagb ecnne, ot’f rxcc Oehkrye Wajys al Kbxts,” qnip VSL, g.z.s. Hne-Egnt Vpji, vn mt iaztjtvei cign PTA Aeiy.

“Bhz izc tuk joryc’l jbow rixk Qwtrrxe Hvrak. Bnnok dbkhf’r yoaq lvqt Tciedry Uoadq. … Nnp zhr yxlsntuun vt bmqvc hodru sgcfn’f robq aair Bqbeern Zgyle. Hug nt ccrpe yalocy G’z Bqbeern Zgyle ytlrt. Km ghmz’s gnt hmvnf. Ot’f ydjr bf m zwvyi.”

HQL’s yktrugaa eiek tb oclcenqz shvtjqgadjoz npkl’g gate htcgrvcqj bl uizce cqreoxxlgrs. Micbxsalt ta GBP Ttoq, oofn T-Cgxf yad Vusu Mggznn tgvr zlwcgep gbbai lfr sutgrx’h ngeax nig, gcv NFY’e saagvwkrnf iozvpfw plmomf zwsr Wuezia Hxwzrr tgs fndol vnfkrryi al poxraougsrvns cign izc nrfosg.

(SDJC: JAFIH: “Wkgwkl Lut Tugi A Sfep zo Xtdo” Gf a Xonfgcw Ebtkk Scudx)

NFY dklrghwb n nqc vvjtg Rheejal ldj “Mcpm Os Wahl Kl Sfelr,” ytl rb ttk “Gntvfyz Sfelr” htsr ouf lenzjjgag Teua-g dx I-cob mier vjmhp 4Yonhzt (ofb ttkie ulf tvrmr hvz laru “Bghbyk Egn!“). Vt’e g gyoirgrr, srofyxwp nnp soek bgpr cturruvjychqj vvjtg ruaz zhr ugaevnmr, bhz EKW zazggry ig ert ut a skl emiee coezwq ms a sogtrt gp gwa. Chrzwwp br zut vz lajy bq g vvxpd fvt, ikly, zwsr’f iz zhr knwq ? nnp ilvizk ? ms ttk brnddbrr.


Find the [Key]. 




치환암호, 카이사르, 비제네르 이중 하나일 것이다.


https://www.guballa.de/vigenere-solver




비제네르로 하니 풀렸다.


authkey는 디코딩에 성공한 키인데, 대문자로 해야 인증이 된다.


authkey : GANGPSYNAM



반응형

'WAR GAME > XCZ.kr' 카테고리의 다른 글

XCZ.kr [prob 6] 풀이  (0) 2018.09.09
XCZ.kr [prob 5] 풀이  (0) 2018.09.09
XCZ.kr [prob 4] 풀이  (0) 2018.09.05
XCZ.kr [prob 2] 풀이  (0) 2018.09.05
XCZ.kr [prob 1] 풀이  (0) 2018.09.05
반응형

Title
Listen Carefully!

Description
Hint1. Auth Key = Upper Case




들어보면 모스부호라는 것을 알 수 있다.

다운받아서 보면 파일명도 morse다.


모스부호 소리 파일을 디코딩해주는 사이트가 있다.  https://morsecode.scphillips.com/labs/audio-decoder-adaptive/


여기에 파일을 업로드하고 디코딩해주면 된다.



3번 돌렸다.


완벽하게 되지 않았지만 대충 key를 구할 수 있다.



authkey : MORSECoDE




반응형

'WAR GAME > XCZ.kr' 카테고리의 다른 글

XCZ.kr [prob 6] 풀이  (0) 2018.09.09
XCZ.kr [prob 5] 풀이  (0) 2018.09.09
XCZ.kr [prob 4] 풀이  (0) 2018.09.05
XCZ.kr [prob 3] 풀이  (0) 2018.09.05
XCZ.kr [prob 1] 풀이  (0) 2018.09.05
반응형

Title
End Of Image

Description



이미지 파일이 있다. 다운받아서 HxD로 열었다.



헤더 시그니처를 보니 PNG파일이다.




그런데, PNG 푸터 시그니처가 보이지 않는다.

대신에 FF D9가 보인다. FF D9는 jpeg의 푸터 시그니처 이다.





png파일과 jpeg파일이 붙어 있는 것 같다. foremost를 이용해서 파일을 분리해주었다.


foremost -i whysoserious.png





파일이 png파일 하나, jpg파일 하나로 분리되었고, jpg파일에 key가 있었다.


authkey : JOg-dragonKER



반응형

'WAR GAME > XCZ.kr' 카테고리의 다른 글

XCZ.kr [prob 6] 풀이  (0) 2018.09.09
XCZ.kr [prob 5] 풀이  (0) 2018.09.09
XCZ.kr [prob 4] 풀이  (0) 2018.09.05
XCZ.kr [prob 3] 풀이  (0) 2018.09.05
XCZ.kr [prob 2] 풀이  (0) 2018.09.05
반응형

SuNiNaTaS의 32번문제 풀이입니다. 


[FORENSIC]


경찰청으로 부터 연쇄 테러 용의자로 부터 압수한 USB 이미지 분석을 의뢰 받았다.

최초 분석을 신입 직원에게 맡겼으나 Hex Editor로 여기 저기 둘러 보다 실수로 특정 부분이 손상되고 이미지가 인식되지 않는다.


당신은 포렌식 전문가의 자존심을 걸고 이미지를 살려 내고 다음 테러를 예방하는데 기여를 해야 한다.

1. 다음 테러 계획이 들어있는 문서의 수정 일시는? (UTC+9)

2. 다음 테러 장소는?


인증키 형식 : lowercase(MD5(YYYY-MM-DD_HH:MM:SS_장소)


예) lowercase(MD5(2016-03-28_13:00:00_Pink Lake)




hex editor로 열어보면 FAT32로 포멧되어 있는 것을 알 수 있다.




표에 따르면, 0x1FE~0x1FF 범위에 부트레코드 손상여부를 확인하는 용도의 시그니처 0x55AA가 있어야 한다고 한다.

그러나 이 이미지파일에는 없다.




시그니처 위쪽으로 밀려 있다. 사이에 NULL바이트를 추가해서 올바른 위치로 밀어주었다.


1FE - 126 = D8


D8크기 만큼 추가해주면 된다.




그러면 FTK Imager에서 정상적으로 인식한다.



2차 테러 계획.hwp를 추출해서 열어보면 다음 테러 장소를 알 수 있다.

 Rose Park



파일 수정 시각은 파일 속성을 보면 된다.



2016-05-30_11:44:02




MD5(2016-05-30_11:44:02_Rose Park) == 8ce84f2f0568e3c70665167d44e53c2a


반응형

'WAR GAME > SuNiNaTaS' 카테고리의 다른 글

SuNiNaTaS [FORENSIC 31번] 풀이  (0) 2018.09.03
SuNiNaTaS [FORENSIC 30번] 풀이  (0) 2018.08.08
SuNiNaTaS [FORENSIC 29번] 풀이  (3) 2018.08.08
SuNiNaTaS [FORENSIC 28번] 풀이  (0) 2018.08.07
SuNiNaTaS [SYSTEM 27번] 풀이  (0) 2018.08.07
반응형

files  Forensics  Password


system32.kr의 Password 문제 풀이입니다.



cmd.md

I lost my password…. 

Who can find password?

Make my pental




zip파일이 주어진다.



윈도우 프로세스 덤프파일로 보인다.

이 프로세스 덤프파일에서 패스워드를 찾아야 한다.


일단 어디에 있는지를 몰라서 검색해봤다.


"윈도우 패스워드 프로세스"



갓 구글.. 원하는걸 딱 보여준다.

패스워드는 lsass.exe에 있는 것 같다.

lsass.exe를 덤프한 lsass.DMP만 따로 뺐다.



mimikatz를 이용하면 윈도우 패스워드를 알 수 있다.

다운로드 링크 : https://github.com/gentilkiwi/mimikatz/releases

(그냥 다운로드 받으면 바이러스 있다고 막아버린다. 윈도우 디펜더랑 이것저것 다 꺼놔야 한다.)



lsass.DMP파일을 mimikatz.exe 경로로 옮겼다.


mimikatz.exe를 실행하고 다음 명령어를 입력해 주었다.


sekurlsa::minidump lsass.DMP


sekurlsa::logonpasswords



만약 오류가 나면 아래를 참고하자.


Some errors:

  • ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->MajorVersion (A) != MIMIKATZ_NT_MAJOR_VERSION (B)
    You try to open minidump from a Windows NT of another major version (NT5 vs NT6).
  • ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->ProcessorArchitecture (A) != PROCESSOR_ARCHITECTURE_xxx (B)
    You try to open minidump from a Windows NT of another architecture (x86 vs x64).
  • ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000002)
    The minidump file is not found (check path).
  • https://github.com/gentilkiwi/mimikatz/wiki/module-~-sekurlsa




플래그를 구할 수 있다.


FLAG : FLAG{I_WILL_FIND_PASSWORD}




반응형

'WAR GAME > System32.kr' 카테고리의 다른 글

System32.kr [RSA103] 풀이  (0) 2019.05.19
System32.kr [Cert] 풀이  (0) 2018.10.12
System32.kr [CMD] 풀이  (0) 2018.09.02
System32.kr [BigImage] 풀이  (0) 2018.08.31
System32.kr [PPT] 풀이  (3) 2018.07.29
반응형

files  Forensics  CMD


system32.kr의 CMD 문제 풀이입니다.



cmd.md

Find Flag

Make my pental




압축파일이 하나 있는데, 압축을 풀면 1GB짜리 파일이 하나 나온다.


써니나타스 30번의 문제파일이랑 형태가 거의 같은 것 같아서

메모리 덤프 파일임을 확신하고 vol.py를 쓰기 위해 파일을 리눅스로 옮겼다.


volatility 설치방법이랑 사용법은 다음 링크를 참조하자. http://mandu-mandu.tistory.com/145



먼저 시스템정보를 확인했다.


vol.py -f cmd imageinfo




Win7SP1x86 이다.


어디서 무얼 찾아야 하나 생각하다가 파일이름이 cmd라서 cmdscan을 사용해 봤다.


vol.py -f cmd --profile=Win7SP1x86 cmdscan




역시나 플래그가 있었다.


FLAG : FLAG{CMD_LINE_CAN_YOU_FIND?}

반응형

'WAR GAME > System32.kr' 카테고리의 다른 글

System32.kr [Cert] 풀이  (0) 2018.10.12
System32.kr [Password] 풀이  (2) 2018.09.02
System32.kr [BigImage] 풀이  (0) 2018.08.31
System32.kr [PPT] 풀이  (3) 2018.07.29
System32.kr [HardCrypto] 풀이  (0) 2018.07.29
반응형

SuNiNaTaS의 30번문제 풀이입니다. 


[FORENSIC]


해커가 김장군의 PC에  침투한 흔적을 발견하였다.

사고 직후 김장군의 PC에서 획득한 메모리 덤프를 제공받은 당신은 해커가 한 행동을 밝혀내야한다.


1. 김장군 PC의 IP 주소는?

2. 해커가 열람한 기밀문서의 파일명은?

3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.


인증키 형식 : lowercase(MD5(1번답+2번답+3번키))



이번에는 1GB 짜리 메모리 덤프 파일이다.


메모리 분석 도구인 Volatility를 사용했습니다.


Volatility Linux 설치 방법

git clone https://github.com/volatilityfoundation/volatility.git


cd volatility


python setup.py build


sudo python setup.py install





편의를 위해서 MemoryDump(SuNiNaTaS) 파일명을 Mem으로 변경하고 풀었습니다.



vol.py -f Mem imageinfo


명령어로 시스템 정보를 확인했다. 이 정보를 확인해야 플러그인 사용이 가능하기 때문이다.




ip 주소를 알아야 한다.

netscan을 이용해서 사용중인 ip와 port확인이 가능하다.


vol.py -f Mem --profile=Win7SP1x86 netscan





Local Address부분을 확인해 보면 ip주소가 192.168.197.138임을 확인할 수 있다.




문서를 열람했다면 그 문서를 읽는 프로세스가 실행되었다는 것이다.

pstree를 통해 프로세스들을 확인할 수 있다.


vol.py -f Mem --profile=Win7SP1x86 pstree




가장 의심해볼만한 것은 cmd.exe에서 실행된 notepad.exe인 것 같다.

정확히 cmd에 어떤 명령을 내렸는지는 cmdscan을 통해 알 수 있다.

vol.py -f Mem --profile=Win7SP1x86 cmdscan



C:\Users\training\Desktop\SecreetDocumen7.txt 파일을 연 것으로 보인다.

파일명 : SecreetDocumen7.txt



이제 이 파일의 내용을 확인해야 한다.


R-Studio라는 데이터 복구 프로그램을 통해 해당 파일내용확인이 가능하다.



해당 프로그램을 설치할 때, RStuido랑 헷갈리면 안된다..


다운로드 링크 : https://www.r-studio.com/ko/




R-Stuido를 실행하고 메모리 덤프 파일을 불러와 스캔한 뒤, 해당 파일 경로로 이동해서 파일 내용을 확인했다.



key : 4rmy_4irforce_N4vy




MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)


authkey : c152e3fb5a6882563231b00f21a8ed5f


반응형

'WAR GAME > SuNiNaTaS' 카테고리의 다른 글

SuNiNaTaS [FORENSIC 32번] 풀이  (0) 2018.09.04
SuNiNaTaS [FORENSIC 31번] 풀이  (0) 2018.09.03
SuNiNaTaS [FORENSIC 29번] 풀이  (3) 2018.08.08
SuNiNaTaS [FORENSIC 28번] 풀이  (0) 2018.08.07
SuNiNaTaS [SYSTEM 27번] 풀이  (0) 2018.08.07

+ Recent posts