CTF (8) 썸네일형 리스트형 [DEFCON] BIOS 보호되어 있는 글입니다. SWINGCTF라이트업 보호되어 있는 글입니다. [2012 Hack The Packet] M1. Who am I ? Neo got a zip file from oracle via FTP... 문제풀이 문제 : Who am I ? Neo got a zip file from oracle via FTP... pcap파일을 열어준 후 ftp로 필터링해 주었는데, Neo_help_me.zip 파일을 요청하는 패킷을 확인할 수 있었다. ftp로 필터링한 상황에서는 실제 전송된 파일 데이터를 확인할 수가 없었다. 전송요청 패킷 번호가 27953이고, 전송 완료 패킷 번호가 27964이므로 필터링 없이 중간 패킷들을 찾아보기로 했다. 27955번부터 27957까지 tcp connection을 형성하고, 이후 FTP-DATA로 실제 zip파일 데이터를 전송한 것을 확인할 수 있었다. 해당 패킷의 tcp stream을 확인해보니 zip파일이 있는 것을 확인할 수 있었다. raw data로 저장해주었고, 이름은.. [SWING CTF_Reversing]King of Clicker 첨부된 실행파일을 열어보았다. 제목대로 클릭해보니 계속 숫자가 증가하며 버튼의 위치가 바뀌었다. 게임을 이해하기 위해 Cheat Engine 툴로 열어보았다. Cheat Engine을 통해 변수의 저장위치를 확인하게 되면 그에 담긴 값을 수정할 수 있기 때문에 변수 저장위치를 확인해서 숫자만 수정해주면 될 것 같다. 클릭해보면서 변수의 값이 어떻게 바뀌는 지를 확인하며 확실한 변수를 찾아보자 4를 기준으로 보자. 4박스에서 클릭해서 5로 바꿔줬더니 맨 위의 변수의 값이 바뀌었다. 수정해준 후 다시 5를 클릭해 봤으나 박스의 숫자는 변하지 않았다.(두 변수 모두 각각 시도) 8을 검색한 상태에서 8박스를 눌러 9로 바꿔주니 바뀌는 변수가 하나 있었다. 이것도 바꿔줘봤으나 버튼의 숫자는 변하지 않았다 34를.. [SWING CTF_Reversing]XOR POWER 소스코드를 열어보자. 잘린 부분 뒤로 b리스트의 요소는 쭉 이어져 있는데, 어느 순간부터 1600만 반복되다가 6200이 나오고 리스트가 끝난다. flag 변수의 값은 입력받은 후 1. flag의 길이가 b의 len(55)와 같고, 2. 55번 반복문을 돌리며 (flag리스트의 요소를 xor연산후 50을 곱한 값)이 (b리스트 내의 같은 인덱스를 가진 요소)와 같아야 한다 즉 flag로 55개의 리스트를, 각각의 요소를 연산하면 b의 각각의 요소와 동일하도록 입력해야하는데, 그 대신에 역으로 연산하며 flag의 형식을 생각하며 하나하나 비교해보는 방법이 있다. 마지막이 1600만 반복되다가 6200이 나왔으니 6200을 갖고 확인해보자 b[54]에 해당하는 값을 50으로 나눠준 후 org()함수의 반대인.. [SWING CTF_Forensic]What_did_you_do_yesterday zip을 열어보니 pcap파일이 있길래 와이어샤크로 열어봤지만(hint도 wireshark였음) 바로 확인되지 않아 다른 네트워크 포렌식 도구인 Network Miner을 이용하여 pcat파일을 분석해보았다. 주고받은 파일을 살펴보았다. zip형식의 파일이 있길래 파일을 열어보려 했는데 잠겨있어서 비밀번호를 찾기 위해 music[1].zip을 보낸 host와 관련된 파일을 검색했다. download.php.html을 열어보니 file의 password가 있었다. 찾은 비밀번호를 넣고 압축을 풀어주었다. FLAG가 메모장에 적혀있었다. FLAG : SWING{DAREHARU_FLOWERING} [출제 : N0Named] [SWING CTF_Forensic]-GroupProject_BadEnding 첨부된 ppt가 순순히 열렸지만, 엉뚱한 내용들이 담겨있었다. 이런 ppt였다. 이 상태로는 아무것도 찾을 수 없으니 HxD를 이용하여 헥사코드를 확인해보았다. 헤더 시그니처가 zip형태와 동일하길래 혹시나 하는 마음에 확장자를 zip으로 수정해보았다. 잘 바뀐 듯 하여 압축을 풀어준 후 ppt폴더/media폴더에 secret이란 이름의 png파일이 있길래 열어보니 FLAG가 있었다. FLAG : SWING{gRouP_ProjEct?_IDK_G00DLUCK} [출제:N0Named] [SWING 내부 CTF]write up 이전 1 다음
