M4ndU의 만두만두한 블로그

처음 포렌식과 미슥만 풀 생각으로 시작했다. 근데 대부분 문제가 예선 300점짜리가 나왔고... (솔버0 미슥 300 리벤지!)

점수판이 1000 1000 1000 0 0 0 0 0 0 0 ...이 되버리는 사태가..

거의 대회 마지막까지도 점수판이 1000 0 0 0 0 0 ... 이어서 막판에 힌트가 터져나왔는데, 웹과 포너블만 힌트가 나오고 내가 풀던 포렌식은 힌트가 3개뿐...(그 중 2개는 아는거) 그래서 각 문제에서 솔버가 나온 것이다.

이번 포렌식 문제의 경우, 포렌식 + 리버싱 + 크립토가 아닌가 싶다.

이미지파일 분석해서 바이러스를 찾고, 바이러스 분석해서 암호화된 파일 복호화하기.

이렇게 과정이 2가지인데, 힌트 1번과 2번은 과정1에 대한 것이었고, 힌트 3번은 과정2에 대한 것이었다.

과정1의 경우 작년 예선 포렌식100을 풀었었다면 쉽게 풀 수 있다.

문제 내용은 대강 이렇다.

스피어 피싱을 당해서 바이러스을 실행시켰고, 그로 인해 파일이 암호화되었다. 바이러스를 찾고 암호화된 파일을 복호화하자!

스피어 피싱은 이메일을 통해 이루어진다고 한다. 그래서 이메일 관련 해서 분석을 해보면 된다.

하지만 난 바닥부터 차근차근 해보았다. (사실 처음에 스피어피싱을 제대로 보지 않아서..)

일단 \Users\Doctuments에 있는 hwp문서들이 .apworegin 확장자명으로 암호화되어있는 것을 확인한다.

엑세스된 시각은 오전 4:43:04(UTC) = 오후 1:43:04(KST)이다.

그리고 바이러스 프로그램이 실행되었을테니 프리패치파일을 확인했다.

\Windows\Prefetch

폴더 채로 추출해서 내 로컬 프리패치 폴더와 바꿔치기 해서 분석툴로 분석했다.

비슷한 시간대를 위주로 살펴보면, photoshopsetup.exe이 바이러스파일임을 알 수 있다.

그러나 해당 프로그램의 경로가 나와있지 않는다. 그래서 NTFS log를 분석했다.

NTFS Log Tracker을 사용했다. 필요한 파일들의 위치는 아래 블로그를 참고하자.

https://infosecguide.tistory.com/110

파일명으로 검색을 했다.

파일명이 변경되고 실행되고 삭제됨을 알 수 있다. 삭제되었는데 휴지통에서도 찾을 수는 없었다.

파일명이 변경되기 이전을 살펴보았다.

크롬으로 다운로드 되었다.

그래서 크롬 방문기록과 다운로드 기록을 확인하였는데, 해당 파일은 찾을 수 없었다.

여기서 문제를 다시 읽고, 스피어 피싱 = 메일임을 확인했다. 방문기록에 eM Client가 있음을 확인했고, 작년 예선에서 풀어보았기 때문에 해당 프로그램이 이메일 프로그램임을 알고 있었다. 먼저 내 컴퓨터에 eM Client를 설치하고, Appdata\Loaming\ 에 있는 eM Client 파일을 통채로 복사해서 내 컴에 그대로 덮어주고 프로그램을 실행하면 메일 내용을 확인 할 수 있다.

메일 내용에서 pdf첨부파일을 구할 수 있고, 열어보면 다운로드 링크를 준다.

다운로드 링크를 통해 photoshopsetup.exe을 다운로드 받을 수 있다.

여기까지 바이러스를 찾는 과정.

다음은 암호화된 파일을 복호화해야한다. 제공된 힌트 3번째 = "파일은 AES로 암호화되었다."

플래그 형식이 바이러스명_바이러스가 다운로드 된 시각_바이러스를 보낸사람의 이메일 아이디

뭐 이런거면 풀었는데.. 너무 쉽나?

M4ndU 600점 10등

REV 50

FOR 50

MISC 50 100 150 200

두개 모두 동일한 내용의 파일입니다.

아래 글에는 보고서에 포함된 내용 + 풀이 과정 비하인드(?) + MISC 300 문제 풀이 일부를 포함하고 있습니다.

Reversing 50

문제 이름

기밀 문서

문제 설명

이 문서에는 엄청난 것이 들어있는게 분명하다.
 무엇이 들어있는지 확인해볼까?

TOP_SECRET
 Hint1 : 특정 폴더와 파일 이름?
 Hint2 : 비밀번호 변조

TOP_SECRET이라는 파일이 하나 주어집니다.

Exeinfo PE로 보면, ELF 64비트 파일임을 알 수 있습니다.

IDA로 까보면, 실행경로와 파일명을 출력해주고, id와 pw를 입력받는 것을 알 수 있습니다.

sub_B2F함수의 42행을 보면, 실행경로의 7번째 글자부터 4바이트가 YISF인지 비교를 합니다.

있을 경우, Hmm...?을 출력해줍니다.

그리고 실행경로의 12번째 글자부터 10바이트를 TOP_SECRET와 비교합니다.

있을 경우, id와 pw을 입력을 받습니다.

id와 pw는 변수명을 더블클릭하면 문자열을 보여줍니다.

id =  The_World_Best_Programmer

pw =  qwe123

따라서 TOP_SECRET파일을  /home/YISF/TOP_SECRET/ 으로 이동시켜서 실행하면 됩니다.

하지만 이렇게 출력된 플래그는 인증이 안됩니다. 조건을 하나 더 충족시켜야 하는데요. main함수를 다시 보시면 20번 행에서 파일명의 7번째부터 4바이트를 "flag"와 비교함을 알 수 있습니다.

따라서 파일명도 바꿔주어야 합니다. 저는 파일명을 123456flag로 변경하였습니다.

그러면 인증가능한 플래그가 출력됩니다.

Forensic 50

문제 이름

범죄를 증명하라(1)

문제 설명

마약관련 범죄를 저지른 범죄조직을 감시하던중 네트워크를 통해 정보를 주고받았다는 제보를 받았다. 패킷을 수집하였으나 분석을 할 수 있는 사람이 없어 분석을 못하고 있다. 수사기관을 도와 분석을 마무리하자.

 <제보1> 익명의 제보자는 조직원들이 FTP를 이용하여 파일을 공유했다라고 한다.
 <제보2> 익명의 제보자는 recovery라는 메시지를 남긴 채 연락이 두절되었다.....
 <제보3> 연락 두절된 제보자가 image.zip을 복구하라는 메세지를 보냈다!

작년 처럼 포렌식으로 점수먹으려다가 첫 문제에서 10시간이상 소비한 문제...

일단 힌트가 없었을때, wireshark로 분석했을 때, 크게 2~3개정도로 나눌 수 있었습니다.

1. 아프리카tv 패킷

2. ftp 패킷

3. websocket 패킷

websocket 패킷을 봤을 때 사람 이름들이 나오길레 이건가 싶었는데... 결론은 관련이 없었습니다. 아프리카tv쪽에서 나온 패킷인 것 같습니다. (추측)

힌트1 <제보1>을 통해서 ftp패킷을 분석함이 확실해져서 ftp-data패킷만 모아서 파일들을 추출하였습니다. wireshark 필터에 (ftp-data)을 입력하면 해당 패킷만 모아 볼 수 있습니다. 그리고 패킷 우클릭 > follow > TCP Stream

RAW > save as > 추출!

image.zip 파일, 기차 이미지 파일 2개, 멜론 설치 파일

총 4개의 파일을 얻을 수 있었습니다. image.zip파일이 오류로 열리지 않느 것 빼곤 나머지 파일은 정상이었습니다.

HxD로 봤을 때, image.zip파일이 열리지 않는 이유가 일단 파일 크기가 매우 크게 설정된 것도 있었고, 파일 명도 읽을 수 없는 형태였습니다. zip파일 시그니쳐가 손상된 것도 아니고... 제가 아는 복구 방법으로는 해결을 못했습니다.

그렇게 힌트 존버하다가... 나온 힌트들이 모두 이미 진행된 내용이라 포기하려다가

어떤 한분이 푸시고, 디스코드에 '운이 좋게 풀었다', '노가다 했다'라고 하셔서 저도 풀 수 있을 것 같다는 생각이 들었고 구글링을 시작했습니다. "ctf zip 복구"로 검색을 하니 블로그 글 하나를 찾을 수 있었습니다.  

https://m.blog.naver.com/PostView.nhn?blogId=j28150&logNo=220993474255&proxyReferer=https%3A%2F%2Fwww.google.com%2F

위 블로그 글에 나온대로 풀려고 했는데, 주어진 zip파일은 파일 크기 부분이 정상이 아니었기 때문에, data부분의 정확한 크기를 알 수 없었습니다. 그래서 1바이트씩 줄여가며 시도할 생각으로 0000이 끝나는 부분을 기점으로 추출해서 zip파일을 만들고 파이썬 코드로 압축 풀기를 시도했습니다.

s.py

python s.py

실행결과 :

FLAG : YISF{Y0U_4R3_G00D_H0M3_M4K3R}

띠용.. 플래그가 바로 나와버렸습니다...

Misc 50

문제 이름

룰 확인

문제 설명

룰을 확인하세요!

대회의 룰을 읽고 하단의 ‘확인을 클릭하면’ 플래그가 나왔습니다.

FLAG : YISF{G00D_LUCK_3V3RY01V3}

Misc 100

문제 이름

Hidden area search

문제 설명

nc 218.158.141.199 24763

 매 문제마다 새로운 직선방정식 3개가 주어진다.
 이 직선방정식들로 만들어진 삼각형의 넓이를 구하여라

일차방정식 3개를 입력받아, 각각 두 방정식끼리 연립해서 교점을 구하고, 세 점의 좌표를 알 때의 삼각형 넓이 공식에 대입하여 넓이를 구하였습니다.

Misc 150

문제 이름

Rule_reverse_engineering

문제 설명

[MISC-150]Rule_reverse_engineering
 nc 218.158.141.182 52387

 실행마다 예시인 문자열이 달라지는데 바이너리값은 같을 때가 있다.
 같은 것을 보면 문자열에서 바이너리로 변하는 일정한 규칙이 있는 것 같다.
 규칙이 적용된 문자열이 주어진 바이너리와 같도록 문자열을 입력해라 

Step :  1

00010011000001100110101
height = 5
table :  {'4': '1', 'x': '001', '3': '0001', '5': '01', '6': '0000'}

table이 주어집니다. 오른쪽에 해당하는 문자열을 왼쪽 문자로 치환해주면 됩니다.

치환해야할 문자열이 긴 것 부터치환을 하면 됩니다.

그런데 치환한 문자가 0이나 1이면 치환해야할 문자로 판단하여 또 치환해버립니다. 

그래서 치환한 문자가 0이 1이면 전혀 다른 범위의 문자로 바꾸었다가 마지막에 되돌려 놓았습니다.

Misc 200

문제 이름

Find First!

문제 설명

nc 218.158.141.142 9238

 처음 시작 위치를 찾아라!
 [설명]
 1. 모든 버튼은 전부 한번 씩 눌려야 하고 항상 마지막으로는 F가 눌립니다.
 2. 배열의 시작은 왼쪽 위( (x, y)=(0, 0) )이고 x와 y의 값은 0과 양의 정수 입니다.
 3. 버튼의 처음 시작 위치를 문제당 1초 안에 찾으십시오.
 4. 배열의 행과 열의 크기는 5 이상, 10 이하 입니다.
 5.문자는 다음 버튼의 위치를 나타내고 숫자는 이동 칸 수를 나타냅니다.
 5-1) D = Down, U = Up, R = Right, L = Left  
 5-2) Ex) D5 = 아래로 5칸, R3 = 오른쪽으로 3칸 
 6. 모든 스테이지를 클리어 하면 플래그가 주어집니다.

[?] Input Example
[*] Problem 1
R2 R2 D2 F
U1 D1 D2 D2
U1 U2 U1 L3
R1 U2 L2 U1

[?] If the starting position's Row : 3, Column : 1.
Input : 3 1
[O] Correct!

[*] Problem 1
D4 L1 R2 D1 F
R2 U1 D1 L3 D2
D1 R3 D1 U2 L4
R1 U2 U3 U1 D1
R3 U2 L1 U1 L2

쉽습니다. 일단 F에서부터 출발할 필요가 없습니다. 중간에서 찾아가도 시작점은 나오니까요.

시작점을 (0,0)에서부터 시작해서 위 아래 양옆 기준으로 이전 위치를 찾아갑니다.

이전 위치가 위라면 n칸만큼 떨어진 곳에 Dn이 있을 것이고, 왼쪽이라면 Rn이 존재할 것입니다. 이러한 방식으로 이전 위치를 찾고, 이전위치를 기준으로 다시 더 이전 위치를 찾습니다. 모든 방향으로 조건에 만족하는 것이 없다면 그 곳이 시작위치가 됩니다.

Misc 300

솔버 0이라서 그런지 지금은 문제가 닫혀있다.

nc접속을 하면, 스테이지가 100개가 있는데, 스테이지마다 매우 많은 base64인코딩 문자열을 준다.

디코딩을 하게 되면 hex값이 나온다. 이를 파일로 만들면 png파일이 나온다.

이미지를 열면 이미지에 문자가 젹혀 있고, 이 문자를 읽어서 5초안에 제출하면 된다.

그래서 생각한게, 이미지를 만들어놓고 내가 이 이미지를 바로 봐서 직접 타이핑해서 제출하는 방식이었다.

근데 이게 줄쳐진 것 때문에 사람이 읽기도 힘들다. 정확히는 비슷한 글자들로 헷갈린다.

게다가 한 스테이지마다 5초안에 입력하는걸 100스테이지를 해야하는데 직접 해보니 25스테이지 정도가 한계였다.

타임아웃뜨거나 오타나거나해서...

그래서 컴퓨터가 직접 글자를 인식해서 자동으로 보내게 해야 했다. 근데 이게 가능한가...

pytesseract을 설치해서 사용해 봤는데 인식을 못했다.

그래서 글자를 더 잘 구별할 수 있도록 회색글자부분만 추출해서 검정으로 바꾸는 코드를 추가했었다.

그런데도 인식을 못했다. 나라도 잘 봐서 직접 입력하더라도 정확도를 높이려고 했는데....

2스테이지를 넘어가면 ... 이전 이미지에 겹쳐져서 나온다. 처음 써보는 모듈이라 이걸 어떻게 해결해야 할지도 모른다..

마지막에 생각난 아이디어. 여러번 접속을 해서

base64문자열 받고 -> 이미지 변환 -> 직접 입력

직접 입력한 값과 base64문자열의 해쉬값을 db에 저장

최종실행에 입력받은 base64를 해쉬돌려서 db에 있는거랑 비교, 입력값 전송

그런데 전체 이미지 개수가 1만개가 넘어갈 수도 있을 텐데.. 이것도 안될 것 같았다. 포기

MISC 50

REVERSING 50

WEB 50

FORENSICS 50 100 150

pw:1234

압축을 풀면 파일이 하나 나온다.

[Forensic] Leakage of confidential Project.E01

hex로 보았을 때 for 50 문제와는 다르지만 문제에서 이미지 파일이라고 했기 때문에 이번에도 Access Data 의 FTK Imager로 열어보았다.

정상적으로 열렸다. 유저가 '박코드' 라는 사람이라서 유저폴더에 OxCODE 폴더에 들어간다.

메세지를 주고받는 프로그램들을 모두 살펴보아야 하는데 윈도우 기본 앱이라고 해도 감을 못잡았다가 나중에 메일 앱이라는 힌트를 보고 메일이 저장되는 경로를 검색해 보았다.

메일 앱의 메일은 Users\[유저이름]\Local\Comms\Unistore\data\3 폴더에 저장된다고 한다.

해당 경로로이동하면 a 부터 p 까지의 이름이 붙은 폴더들이 존재하고 그 중 a,d,e,g,h,j,k,m,n,p 폴더에 .dat 확장자를 가진 파일이 있다.

xml로 보면 될거 같아 확장자명을 xml로 바꾸고 인터넷 브라우저로 보았다. 그러면 데이터가 한글로 바뀌여서 읽을 수 있게 된다.

그러나 창에 뜬 내용만으로는 부족하거나 표시가 안되기도 하기 때문에 소스보기로 내용을 봐야 한다. 그러면 저장된 내용을 다 확인할 수 있다.

n폴더에 담긴 내용에 프로젝트 파일 다운로드 링크가 있으며

p폴더에 파일을 열 비밀번호가 있다. 비밀번호를 이용하여 문서를 열어보면 맨 밑에 FLAG가 있다.

FLAG : YISF{S0ME_W1ND0WS_4PP_HA5_EVIDENC3_A8OUT_U5ER'S_BEHAVI0R}

순천향대학교 청소년 정보보호 페스티벌

포렌식 50점 문제

해당 문제는 용량 때문에 당일날 몇 시간전에 사전 배포되었다.

문제 내용은 대회가 끝나버리면서 스샷을 저장하지 못했다...

대회가 시작되고 공개된 비밀번호로 압축을 풀어준다.

[Forensic]Leakage of Challenges.ad1

FxD로 열어보니 

41 44 53 45 47 4D 45 4E 54 45 44 46 49 4C 45 00   ADSEGMENTEDFILE.

으로 시작한다.

AccessData의 FTK Imager 으로 열어보면 된다.

문제에 웹 브라우저를 사용했다라고 되어있었고 크롬이 설치되어 있으므로 크롬의 데이터들을 찾아 보았다.

일단 방문기록을 확인해본다.

G:\Forensic 50\Users\InJung\AppData\Local\Google\Chrome\User Data\Default

에서 History 파일에 저장되어있다.

이 파일은 DB Browser for SQLite로 열어볼 수 있다.

urls 테이블을 보면 특정 사이트로 추정되는 http://www.nonamed.xyz 를 찾을 수 있다.

해당 사이트에 들어가면 여러 게시물들이 뜬다. 

(이때 flag값을 얻을 수 있을 것이라 생각했지만...)

5번째 글은 비밀글로 되어있었다... ID와 PW를 얻기 위해 방문기록을 얻었던 같은 디렉토리에서 Login Data를 추출해서 확인을 해보았다.

ID는 얻을 수 있었지만 PW는 암호화되어 있었다.

이 암호화된 PW를 decrypt 하기 위해 많은 삽질을 했었다..

OSForensics라는 프로그램을 설치하고 비밀번호를 알아내려고 했다. 내 크롬에 저장되어있는 아이디와 비밀번호가 잘 표시되길레

문제에서 추출했던 Login Data를 내 것과 바꿔치기 해서 재시도를 해보았다. 될 것이라 생각했는데 decrypt 실패라고 떴다.

왜지..라고 생각하다가 유저폴더를 통째로 추출해서 내 컴의 유저 폴더에 집어넣고 재시도 했더니 decrypt가 되버렸다.

이렇게 얻은 ID 와 PW를 사용하여 사이트에 로그인하면 비밀글을 확인할 수 있다.

FLAG : YISF{SOme7imes_W3bBr0w5er_St0r3d_y0uR_Pa$$worD!}