Introfor

disk-image.gz file이 있다. 우선 이 파일을 압축 해제한 후 파일에 대한 정보를 확인한다.이때 이 파일에 대해 좀 더 알아보기 위해 binwalk를 사용한다. binwalk는 파일 시그니처를 이용하여 어떤 데이터가 들어 있는지 확인하는 도구이다. 그 다음 scaplel을 사용한다. scaplel은 파일 시그니처를 기반으로 삭제된 데이터를 복구할 때 사용하는 도구이다. 설정 파일을 변경 혹은 추가를 할 시 scaplel.conf를 다음과 같은 형식으로 작성한다. File Format y Max carve size Header Signature Footer Signature scaplel을 사용해서 나온 디렉토리이다../scalpel-output/elf-0-0 디렉토리에 들어가면 0000000..

-Problem-We intercepted this image, but it must have gotten corrupted during the transmission. Can you try and fix it? corrupt.png PNG file이 있다. 2015년 iceCTF에서 나왔던 포렌식 문제처럼 hex 값을 변조하면 풀리는 문제이지 않을까 싶어서 hex 값을 보았다.역시.. PNG file header signiture 값부터 다르다.이렇게 값을 변환해준 후 저장하면 아래와 같은 flag를 볼 수 있다.Flag : IceCTF{t1s_but_4_5cr4ch}

pdf file이 있다. 이 파일을 pdf-parser로 분석root@kali:~/Desktop# pdf-parser --stat mandiant.pdf Comment: 3XREF: 1Trailer: 1StartXref: 1Indirect object: 734 355: 2, 1, 5, 16, 14, 48, 50, 9, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 64, 66, 68, 72, 71, 75, 79, 82, 87, 86, 94, 95, 96, 97, 98, 100, 104, 113, 112, 117, 118, 119, 122, 123, 124, 125, 128, 129, 107, 116, 137, 135, 143, 144, 145,..

disk.img file이 있다. 이 파일을 foremost를 이용했다. foremost는 데이터 복구를 위한 카빙 툴이다. 디스크 hex 데이터에서 파일 헤더를 탐지하고 길이를 측정하여 개별 파일을 복구한다. 네트워크 패킷 데이터 추출, 악성코드 분석, CTF에서 알 수 없는 파일이나 합쳐진 파일 분리에 이용한다. foremost한 후 default로 output 디렉토리 내부에 추출 파일을 저장한다. 그 곳에 audit.txt file과 jpg directory가 있다. jpg directory에 들어가면 3개의 사진 중 위와 같은 flag가 있는 사진이 있다.flag : Flag_gooselings_cant_drive

logo.jpg file을 다운받았다. 일단 이 파일에 대한 메타데이터를 먼저 보았다. 그런데 flag는 설명 부분에 있었다. 메타데이터에 대해 몰랐던 때가 생각이나게하는 문제인 듯하다.flag : now_youre_thinking_with_exif

logo.gif file을 다운받았다.flag가 뜨는 부분만 캡쳐하게 되면 되는 문제이기 때문에 간단하게 flag를 구할 수 있었다.flag : boy_this_goes_by_so_fast

husavik.apk file을 다운받았다..apk 파일 분석 툴 jadx를 사용해서 보았다.AndroidManifest.xml은 어플리케이션에 대한 전반적인 정보를 가지고 있는 파일로써, 이 파일 내부에는 어플리케이션 컴포넌트(Activity, Service, Provider, Receiver)로 4가지 종류가 있다. Activity는 애플리케이션 구성 요소로, 사용자 인터페이스의 일부를 구현하기 위한 일종의 화면을 제공해는 것이다. android:name은 속서을 통해 Activity 클래스명을 설정한다. Activity 요소에 android:name을 보면 tf.icec.husavik.MainActivity로 경로가 나와있다. ...\tf\icec\husavik\MainActivity로 가게되면 여..

.docx file이 있다.이 파일을 압축 프로그램으로 연결해준다.이 파일은 .docx file이 아닌 zip file이였던 것이다. 그래서 압축을 풀면 flag.txt에서 flag를 찾을 수 있다.

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989910010110210310410510610710810911011111211311411511611711811912012112212312412512612712812913013113213313413513613713813914014114214314414514614714814915015115215315415515615715815916016116216316416516616716816..