Baby's first reversing, I think. Get it to terminate with exit 0 with an input matching the flag format (WPI{foo bar baz}) mhm file mhm 명령어 이용하면 python 3.8 byte-compiled 라고 한다. https://shwoghk14.blogspot.com/2020/05/forensics-pyc-py.html Forensics .pyc 파일 .py로 복구하기 별빛 연구소(StarLight Lab) shwoghk14.blogspot.com 인터넷으로 검색해보니 디코딩 툴이 있어 확장자 .pyc 붙여주고 툴 이용해 python 파일로 변환하고 내용 확인 uncompyle6 mhm.pyc # un..
CTF
칼리에서 file 명령어로 보니 data라고만 뜬다. HxD로 열어보니 시그니처가 BMP 파일이라고 한다. 그래서 확장자 .bmp로 바꾸고 온라인 파일 변환툴로 jpg로 바꿔 열어보니 flag가 아니란다. 포렌식 관련 bmp 파일 찾아보다가 파일 헤더 정보를 찾았다. tod-forensics.tistory.com/entry/%ED%9B%BC%EC%86%90%EB%90%9C-bmp-%ED%8C%8C%EC%9D%BC-%EB%B3%B5%EA%B5%AC-%EC%8B%A4%EC%8A%B5 훼손된 .bmp 파일 복구 실습 학교 수업 후 미리 실습을 해보라고 교수님이 준 damaged_image.bmp 파일이다. 역시나 열리지 않는다. 그래서 습관적으로 HxD에서 파일을 확인해보니 파일 헤더 부분이 뭔가 엉성하다는 ..
주어진 파일 wireshark로 열어보니 TCP 통신이 많은 걸 볼 수 있다. Follow -> TCP Stream 메뉴로 들어가 Stream을 조정해봤다. 플래그 형식과 비슷해보이는 걸 찾았다. 각 단어가 뭘 뜻하는지 유추해본 결과 x랑 q는 다른 글자에서 힌트를 찾을 수 없어서 pikaboo랑 deadbeef라는 단어로 맞춰봤다. 맞드라 ~ FLAG : picoCTF{p33kab00_1_s33_u_deadbeef}
힌트1을 보니 파일 안에 다른 파일을 숨겨뒀다고 한다. HxD로 열어 png 푸터를 찾아보니 뒤에 zip 시그니처가 있는걸 보니 zip파일이 숨겨져 있는 것을 알 수 있다. zip 파일 부분만 추출해 저장해줬다. zip 파일을 풀어보니 나온 이미지 파일 또 있다. 러시아 인형마냥 zip 파일이 계속 숨어있나보다. 4를 깔 때 돼서야 flag.txt 파일이 보인다. FLAG : picoCTF{96fac089316e094d41ea046900197662}
주어진 adventure 파일을 열어보면 이렇게 긴 설명이랑 입력칸이 뜬다. ghidra로 열어봤다. 저 a> 뒤 입력칸에 look, inventory 같은 명령어를 입력할 수 있는 것 같다. go에 대한 명령어도 있었는데, go 뒤에 north, south 등 방향이 붙어야하고 안붙으면 Gotta be ... 문장이 뜬다. 위에서 west로 가면 Agency Lobby가 있다고 하니 go west를 입력해봤다. 그 뒤로 언급있던 Chief 사무실에 들렀다가 solved stamp를 보고 take, use 명령어를 썼는데 어디에 stamp를 찍냐며 역정을 낸다. 아마 아이템이 나오면 take, drop, use를 이용하면 되는 것 같다. 맨 처음 Dangeresque's Office에서 나온 아이템(미지..
파일 다운받고 HxD로 열어 시그니처 살펴보니 gimp file로 .xcf 파일 시그니처가 맞았다. 파일 실행법을 찾아보니 gimp라는 포토샵 프로그램으로 볼 수 있다고 한다. 문제에서도 The top layer is a lie. 라고 했으니 레이어를 살펴보면 될 것 같다. 보니까 맨 윗 레이어가 흰단색 바탕이라 밑에 레이어가 가려져있다. 탑 레이어를 안보이게 하니 scan me라고 하며 qr코드의 일부분이 나왔다. 이를 복구할 수 있는 온라인 툴일 다운받고 HxD로 열어 시그니처 살펴보니 gimp file로 .xcf 파일 시그니처가 맞았다. 파일 실행법을 찾아보니 gimp라는 포토샵 프로그램으로 볼 수 있다고 한다.  .xcf 파일 시그니처 문제에서도 The top layer is a lie. 라고 ..
주어진 파일을 volatility로 분석했다. 이 중 의심스러운 파일로 FTK Imager랑 notepad를 꼽아 덤프했다. notepad 덤프파일에서 strings로 문자열 뽑았는데 너무 많아서 UMASS만 골라 뽑았다. FLAG: UMASS{$3CUR3_$70Rag3}
Description There's something in the building. Can you retrieve the flag? Hint There is data encoded somewhere... there might be an online decoder. 힌트에서 온라인 디코더 언급이 있어 이미지 디코더를 찾아 넣어 실행해보니 flag 찾을 수 있었다. https://stylesuxx.github.io/steganography/ FLAG : picoCTF{h1d1ng_1n_th3_b1t5}
