eunjuicy’ orchard

Do you like music? Hint : AuthKey is in this file. Play the Music을 누르니 이런 화면이 떴다. 다운로드하자.

먼저 문제를 다운로드받는다. 확장자가 없는 파일 2개가 있다. shadow 파일 passwd 파일 리눅스에는 /etc/passwd와 /etc/shadow 파일이 있다. 유닉스를 기반으로 한 모든 리눅스 시스템은 사용자 계정 정보와 그 비밀번호(암호화)를 위 파일에 저장한다. 이 파일들은 수정할 수 없지만, 누구나 볼 수 있어 john과 같은 크랙 툴을 이용하면 패스워드를 알아낼 수 있다. 참고 : https://y30ni.tistory.com/51 [SuNiNaTaS/Forensic] 14번 풀이 파일을 다운로드 후 압축을 풀면 확장자가 없는 파일 2개가 있다. 먼저 HxD를 켜서 확인해보았다. 둘 다 의미있는 헤더는 없고, 위와 같은 내용을 가진 파일이었다. 여기서 ㅠㅠㅠ리눅스로 저런 y30ni.tis..

👾 문제 설명 Do you know “Windows Search” with (windows + s) command? Find the flag.txt! 먼저 문제를 다운로드한다. 파일 유형이 EDB 파일인 것을 확인할 수 있다. EDB 파일이 무엇인지 찾아보니 위와 같았다. 파일 확장자가 .edb인 파일은 메일 관련 데이터를 저장하기 위해 Microsoft Exchange Server에서 만든 사서함 데이터베이스다. 이 파일을 분석하기 위해서 WinSearchDBAnalyzer을 이용하겠다. 다운로드 링크 → https://moaistory.blogspot.com/2018/10/winsearchdbanalyzer.html WinSearchDBAnalyzer WinSearchDBAnalyzer This to..

👾 Description 피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다. 아래의 형식에 맞춰 증거를 수집해라. 시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼)) ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB)) 먼저 다운받은 파일을 FTK Imager로 열어본다. 파일이 많다. Recent 폴더 안에 ‘s3cr7.avi.lnk’가 있다. 아동 청소년 보호법에 위배되는 파일처럼 보인다. LNK 파일이란? LNK 파일은 원본 이미지 문서 폴더 또는 프로그램에 대한 연결 역할을 하는 Windows 대안 ..

👾 Description 해커그룹 'XCZ' 에서는 데이터를 전송할 때 파일이 외부로 유출되더라도 볼 수 없게 숨겨놨다고 한다. 아래의 파일에서 숨겨져 있는 파일을 찾아라. HINT 1 : RAR 패스워드 브루트포싱 문제가 아닙니다. 먼저 문제를 다운로드한다. 문제에서 다운받은 format_it.zip 파일의 압축을 풀어봤는데, ‘flag.rar’은 다운로드에 성공했으나 어떤 파일 하나는 압축 풀기에 실패했다. → 압축 파일 안에 두 개의 파일이 존재하는 것을 알 수 있다. 🍳 zip 파일의 구조 ZIP파일은 크게 Local File Header, Central Directory, 그리고 End of central directory record로 나뉜다. 참고 링크 : https://dokhakdubin..

👾 Description 어느 날 해커 'FORENSER' 는 BOSS 의 명령을 받고 계획까지 치밀하게 세운 뒤, "XCZ" 라는 회사의 내부에 침입하여 기밀문서를 찾아 외부로 유출하는 과정 중 현장에서 발각되었다. 조사 중에서도 죄의식을 느끼지 못하고 질문에도 답하지 않고 물어보았자 시간을 버리는 일이었다. 결국 참다 못해 직접 나서서 찾기로 하였다. 증거를 찾을 수 있는 단서는 'FORENSER' 가 가지고 있던 하드디스크 하나. 나는 일단 하드디스크에서 증거가 될 수 있을만한 것을 추려내었다. 키 값을 찾으세요. 먼저 문제에 첨부된 파일을 다운받아 압축을 풀면 파일이 엄청나게 많은 것을 확인할 수 있다. 이 수많은 파일 중 Outlook Express 파일에 집중해보았다. 마이크로소프트의 전자 메..

👾 문제 설명 드림이 : 우와! 밖에 눈이 많이와요! 드림맘 : 그렇네~ 드림이 : 거의 모두 하얀공간뿐이네요. 📎 https://dreamhack.io/wargame/challenges/241 Snowing! 드림이 : 우와! 밖에 눈이 많이와요! 드림맘 : 그렇네~ 드림이 : 거의 모두 하얀공간뿐이네요. dreamhack.io 먼저 문제 파일을 다운로드 받는다. flag.txt와 Snow.jpeg 파일이 있다. Snow.jpeg를 열었더니 이런 눈사람 사진이 등장했다. flag.txt 파일 안에는 다음과 같은 텍스트가 적혀 있다. flag.txt에서 ctrl + a 를 눌러 전체 선택을 했더니 위 캡쳐화면과 같이 나타났다. 공백부분에 데이터를 은닉하는 스테가노그래피 기법을 사용한 것으로 보인다. 스테..

📎 http://xcz.kr/START/challenge.php 👾 Title Memoryyyyy Dumpppppp 👾 Description 👾 어느날 나는 커피집에서 노트북을 놓고 잠시 자리를 비웠다. 그리고 다시 와서 작업을 하다가 작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다. 원인을 찾기위해 나는 서둘러 메모리 덤프를 만들었다. 이 메모리 덤프파일을 분석하여 다음 정보를 알아내자. 키 형식 : (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years) ex (explorer.exe_1234_7777_Mon-Jan-01-12:00:00-2012) 메모리 덤프는 응용 프로그램 또는 시..

📎 http://xcz.kr/START/challenge.php 👾 Title Who's Notebook? 👾 Description 내 친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다. A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다. 이 노트북의 주인을 찾아주자. 인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지 인증키는 모두 대문자로, 띄어쓰기무시 예) PLACE1_PLACE2_PLACE3 먼저 문제에 첨부된 파일을 다운로드한다. ‘notebook’ 이라는 파일이 생성된 것을 확인할 수 있다. 확장자가 따로 없어 HxD를 이용해 파일 시그니처를 확인한다. HxD는 이진 파일을 읽는 무료 에디터 프로그램으로, 주로 사용되는 기능은..