HW_chick hacker

WHITE SPACE문제 파일 jpg 확장자의 파일이 존재한다.포렌식을 이용하여 숨겨진 flag값을 찾아보자!!- 문제 풀이해당 파일을 열었을 때 jpg확장자 파일이 존재한다. Hxd를 열었을 때 파일의 헤더 시그니처 값을 확인 했을 때 50 4B 03 04 임을 알 수 있다. 기존 jpg 파일과 다른 50 4B 03 04 라는 시그니처는 ZIP파일의 확장자임을 알 수있어서 확장자를 ZIP파일로 바꿔 압축을 풀어 보겠다. 해당 캐로로 사진이 있는 white.jpg파일을 열었을 때 PNG파일의 시그니처 89 50 4E 47 이 함께 카빙되어 붙여져 있음을 확인 하였다.  무제 1파일 PNG 확장자로 새롭게 파일이 생성 된 것을 확인 하였다.이 파일에 flag값을 숨겼을 거라고 추측이 되어 문제 풀이 제목 ..

본 리버싱 문제는 x64dbg를 이용하여 풀었습니다.ollydbg를 사용해 봤을 때 ASCII 코드를 확인 하는 것이 너무 어려워 보기 쉽게 나오는 x64dbg를 이용하였습니다. 리버싱은 거의 처음이라 어떻게 접근해야할지 몰라서 많이 해맸지만 일단 exe파일이 어떻게 실행이 되는지 파악을 먼저 해보겠습니다.먼저 툴에 대한 사용법을 익혀야 합니다.툴 사용법은 구글링을 통해 확인을 하였고 디버거 사용법에 대한 것은 개인적으로 아래 URL이 정리가 잘되어 있고 사용하기 편리했습니다.https://dhhd-goldmilk777.tistory.com/198 x64dbg사용법2-2 디버거사용법(X64dbg) (1) 프로그램 코드 어셈블리어 와 명령어를 나타내고 있는 코드 부분 (2) 레지스터 CPU의 레지스터의 값..

이번 문제는 포렌식 문제입니다."recovery.vhd"파일을 하나 주며 파일 형식을 알아보기 위해 FTK Imager를 통해 확인해 보겠습니다. 위 파일은 NTFS파일이며 "recovery.vhd"파일에 파티션 1이 한개 나눠줘 있는 것을 확인하였습니다. 해당 NTFS파일만 볼수 있게 파티션 1 부분파일만 이미지로 추출해 보겠습니다. Hxd 툴을 이용하여 열었을 때 섹터 0번이 내용이 없는 것을 확인 할 수 있습니다.여기서 알 수 있는 것 NTFS파일 구조를 알고 있으면 풀 수 있습니다. NTFS의 0번 섹터를 지칭 하는 것은 VBR입니다 - VBR VBR은 NTFS 구조에서 가장 앞부분에 위치하는 영역입니다.VBR의 첫 번째 섹터는 부트 코드를 포함하여 있고 클러스터 크기가 512인 경우 VBR 자체..

- Babyforms본 문제는 설문을 하여 제출하여도 웹페이지에서 벗어 날수 가 없다. 구글 폼 설문조사 창에서 탈출하지 못하므로 javascript문 작은 forms구조를 확인 해 볼 수 있다. - 위 그림처럼 Elements에서 babyforms문제의 flag 값을 찾을 수 있었다. - BabySheet 위 문제는 구글 시트에서 flag값을 찾는 문제 이다. A1부분에 'hawkis{????????????????}' 가 출력되어 있다.A1부분에 REPLACE 함수를 사용하고 있어 먼저 함수에 대해 알아보자!! REPLACE 함수 사용 목적 - 문자열의 특정 위치부터 주어진 길이 만큼을 다른문자로 데체함- 보통 주민번호, 이메일 등을 마스킹 할 때 사용 REPLACE 함수 형식  = REPLACE( 텍..

스택 버퍼오버플로우를 이용한 CTF문제를 풀려면 스택 프레임 구조를 파악하고 알고 있어야 한다. 스택이란?Stack : Last in First out (LIFO)를 기반으로 작동하는 자료구조. push(), pop() 등의 함수를 사용하여 조작스택 영역은 함수의 호출과 함께 할당됩니다. 함수가 끝나면 자연스럽게 사라지죠.지역 변수, 매개 변수, 반환값(Return)들이 이 곳에 저장됩니다.특징이 있다면 스택은 높은 주소에서 낮은 주소로 커지는데, 그 이유는 운영 체제의 핵심인 Kernel을 절대로 침범할 수 없게 하기 위해서입니다.스택에서 꼭 알아야 할 두 가지 레지스터가 있는데, ebp와 esp라는 녀석입니다.ebp는 베이스 포인터입니다. 스택에서 제일 낮은 위치(메모리 상에선 가장 높은 주소)를 가..

- 드림핵 CTF 문제 풀이A. ex-reg-exD. baby-linux - 문제풀이 전 개념두 문제를 공통적으로 정규 표현식을 이용하여 문제를 풀이하였음. - 정규 표현식특정한 규칙을 가진 문자열의 집합을 표현하는데 사용하는 형식 언어이다.패턴으로 부르는 정규 표현식은 특정 목적을 위해 필요한 집합을 지정하기 위해 쓰인다. 1. ex-reg-ex문제 파일을 확인 해 볼때 "dr\w{5,7}e\d+am@[a-z]{3,7}\.\w+"   정규화로 표현하여 입력하면 flag값을 준다는 내용이다. dr = 문자 dr\w{5,7} = 문자, 숫자, 밑줄을 5~7글자 표현e = 문자 e\d+ = 숫자 ( 0~9)가 1개 이상am@ = 문자 am@[a--z]{3,7} = a~z까지 의 알파벳 3글자에서 7글자 표현..

- 목표- Xerosploit 공격을 이용해 내부망 DOS공격 시도- 공격 패킷에 대해 분석 후 UTM 정책을 이용하여 패킷차단 실습  - 실습 환경1. UTM장비를 기준으로 내부망(PC대역, 서버대역, DB대역, 관리자대역), DMZ까지 구현 2. 내부 PC대역(eth2)에서 관리자 대역(eth5)으로 Xerosplit 시도- 현재 구성된 실습 환경에서는 공인IP로 뜷린 PC로 공격환경이 되지 않아 내부대역 -> 내부대역으로 공격을 해 주겠다. 3. 기본적으로 any any deny 정책으로 패킷이 차단 될 것 DOS공격을 할 시 패킷이 들어오도록 IPv4정책 허용 - Wireshark를 통한 패킷 분석Xeosploit공격 시 관리자 PC에서 와이어 샤크로 패킷을 수집해 봤을 때 Source IP는 수..

Dos 공격 : 서비스 거부 공격으로 시스템을 악의적으로 공격해 해당 시스템의 리소스를 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다.  Dos공격으로 들어온 패킷을 Wireshark로 분석해 볼려고 한다!!- 변조된 IP를 보내는 공격자의 IP를 Wireshark로 찾아보자!!  - Xerosploit 공격에 대한 Source IP찾기 (문제 풀이 전) Xerosploit 공격 툴을 이용하여 Dos 공격을 하였다.Xerosploit 툴은 SYN Flooding 기법을 활용하여 dos 공격을 실행한다. 클라이언트와 서버가 TCP 프로토콜을 통한 연결을 할 때, 3-way-handshake라는 과정을 거치게 된다. 이 때 클라이언트는 SYN 패킷과 ACK 패킷을 서버에 전송하여 연결을 수..