h32j00

문제

풀이

파일안에 플래그가 있다.

다운 받아봤다.

HxD로 열어봤다.

뭔가 flag가 있는 것 같은데.. pW? 비밀번호를 쳐야되나? 하고 .zip으로 바꿈(압축 풀 때 비밀번호 넣어야하는 줄 알고..)

열어볼까나?

잉? ,, 뒷걸음질 치다가 풀었다..

사람들이 푼 것을 보니까 1f 8b 08은 gz 파일의 시그니처라고 한다,,  그래서 gz으로 확장자를 바꾸고 압축을 푸는게 정석인 듯.. 푸하~

문제

풀이

broken.. 깨져있는?

Broken.jpg 다운받아봤더니

이런 QR 코드가 나왔다.

오른쪽 위, 왼쪽 아래가 깨진 것 같긴 했는데 뭐가 잘못된 지 몰라서 검색을 해봤다..

제공된 사진(Broken.jpg)와 일반적인 QR코드는 색이 반전된 상태였다,, 

하~ jpg 구조 찾고 왜 이럴까 너무 고민했는데 부질없는 고민이었군..

그림판을 가지고 색 반전을 시킬 수 있다고 해서 해봤다.

online으로 qr read 하는 곳 발견

->

https://zxing.org/w/decode.jspx

결과

flag: 1t_S_s0_cr3atlv3

아직 문제를 풀면서 센스가 부족하다는 것을 느낌

오늘부터 1일 1 ctf-d 문제를 풀겠습니다. 땅땅땅

- 주목해야할 점

• 사진이 들어있을 수 있음
• 무언가 빠져있음

secret 파일을 다운로드 하고 HxD로 열었습니다.

PK 구조네요. 확장자를 .zip으로 변경해보았습니다.

secret.png 파일이 있습니다. 열어보겠습니다.

엥? 뭐지? HxD로 열어봤습니다.

png 파일인데 PNG 시그니처가 헤더에 없어요. -> 힌트에서 무언가 빠졌다고 했는데 이 부분이네요.

PNG 시그니처를 헤더에 넣어주겠습니다. (89 50 4E 47)

저장하였더니 플래그가 들어있는 사진이 나왔습니다.

flag: easyctf{troll3d}

요즘은 문제를 풀면서 조금씩 지식을 쌓고있는 중이다.

오늘은 프리패치에 관한 문제를 풀었기 때문에 까먹지 않기 위해 프리패치에 대한 글을 하나 쓰려한다.

0. Prefetch file이란?

응용 프로그램이 특정 위치에서 처음 실행될 때 Windows에서 사전 추출 파일 생성.

쉽게말하면 시스템에서 한번이라도 실행된 적이 있는 프로그램은 프리패치 파일을 생성한다. 이런 이유로 포렌식 수사관들에게는 좋은 아티팩트라고 할 수 있다.

생성되는 포맷이 있는데 CMD.EXE-ABCDEF.pf 이런식으로 프로그램이름-hash.pf 형식으로 생성된다.

여기서 hash값은 실행파일의 path의 hash값이라고 한다.

prefetch file들은 C:\Windows\Prefetch 에 존재한다.

1. Prefetch file 생성 이유는?

프리패치 파일을 생성하면 프로그램 로딩속도가 빨라진다고 한다. 또한 128개였나? 그 정도를 max로 둬서 넘으면 예전꺼는 지워지는 것 같다.

2. NTFS ADS에 관련된 pf file

ADS란 Alternate Data Stream의 약자로 file에서의 데이터 스트림을 의미한다.

NTFS에서는 다중의 데이터 스트림을 지원하는데  파일에 하나 이상의 데이터 스트림을 담을 수 있다는 뜻이다.

그래서 ADS를 이용하여 데이터를 숨길 수 있다.

만약 h32j00.txt의 ADS에 svchost.exe를 숨기고 svchost.exe를 실행시킨다고 하면?

svchost.exe의 prefetch file이 생성되지 않고 h32j00.txt와 같은 이름의 파일이 생성된다.

정~말 신기하다!!

[참조]

1.

https://www.magnetforensics.com/blog/forensic-analysis-of-prefetch-files-in-windows/

2. 

https://kali-km.tistory.com/entry/ADS

항상 헷갈렸던 두 친구를 다시 한 번 정리하고 가려한다.

- Little Endian

높높낮낮으로 외우면 아주 간단하다.

만약 HDD에 0xAABBCCDD가 저장되어 있다고 한다면

높은 자리 수가 높은 주소에 로드되는 것..

그럼 읽어오면 0xDDCCBBAA 이렇게 되는 것이다.

- Big Endian

얘는 Little Endian의 반대이다!! 많이 안쓰일 것 같지만 생각보다 자주 봐서 놀랍다..

똑같이 HDD에 0xAABBCCDD가 저장되어 있다고 하면 

높은 자리의 수(AA)부터 낮은 주소에 쓰기 시작한다.

이제 더 이상은 안 헷갈릴 것 같다!! 빠-끄

문제:

OEP를 구한 후 '등록성공' 으로 가는 분기점의 OPCODE를 구하시오.
정답인증은 OEP + OPCODE
EX) 00400000EB03

immunity로 열어보니

패킹이 되어있는 것을 확인할 수 있었습니다.

패킹방식은 Aspack.. UPX 툴로는 언패킹하지 못할 것 같습니다.

대신 원리를 살펴보면 패킹을 한 바이너리는

PUSHAD -> POPAD -> OEP 이런 과정을 거쳐서 원래의 entry point로 가게됩니다.

POPAD를 찾아봅시다.

POPAD를 찾고 F8을 이용해서 456501 까지 가면 PUSH 했던 445834로 뛰는 것을 볼 수 있습니다. 이 곳이 OEP라고 할 수 있겠습니다.

445834로 가봤더니 이런식으로 되어있는데 ctrl + A 나 Analysis -> Analyse code 를 누르면 

이렇게 어셈블리어를 보실 수 있습니다.

여기서 문자열을 확인해보면

( 문자열 확인법은 ->

2020/02/23 - [Forensics/Reversing] - [CodeEngn 06] Basic RCE L06 )

뭔가 성공을 이야기하는 문자열이 보입니다. Enter나 더블클릭으로 가줍니다.

분기문의 OPCODE는 7555가 되겠네요.

그 조건을 만족 못할 시에는 '등록성공'으로 못갈 것 같습니다.

답: 004458347555