have a Young's

문제에는 pcapng 파일이 주어진다. 172.112.93.7 가 192.168.98.130 으로 계속해서 Ping을 보내는 것을 확인할 수 있다. 따라서 의심가는 IP는 172.112.93.7 이다. FLAG fiesta{172.112.93.7} 문제 2 - 1에서 이어지는 문제다. 의심되는 IP (172.112.93.7)을 검색했을 때 이 IP가 사용한 프로토콜은 ICMP임을 확인할 수 있다. FLAG fiesta{ICMP} 문제 2-1과 2-2에 이어지는 문제다. 의심되는 IP가 전송한 패킷 데이터를 보면 "."과 "-"로 이루어진 데이터를 볼 수 있다. 0x2e = . 0x2d = - IP 주소가 172.112.93.7이고 ICMP 유형이면 각 패킷의 데이터를 필드로 지정하고 필드만 출력하는 명령..

문제에는 pcapng 파일이 1개 주어진다. NetworkMiner로 열기 위해 pcapng파일을 pcap 파일로 변환시켰다. 공격자와 서버의 IP 주소를 알아냈다. 공격자 : 192.168.152.130 서 버 : 192.168.152.129 공격자와 서버의 ip를 필터링을 걸어 패킷을 확인했다. 공격에 성공한 패킷을 확인했을 때 /password_chage.cgi 에서 bas64로 인코딩된 문자열을 발견했다. 해당 공격을 구글링해서 webmin 원격코드 실행 취약점이라는 것을 알아냈다. https://www.cvedetails.com/cve/CVE-2019-15107/ CVE-2019-15107 : An issue was discovered in Webmin

주어진 파일을 압축해제를 하면 eml 파일들이 있다. MiTeC Mail Viewer로 주어진 폴더를 열어보았다. 메일을 각각 확인해 보면, 첨부파일로 zip 파일이 존재했다. 메일에 첨부되어 있는 파일을 모두 추출했다. unzip 명령어를 통해 zip 파일들을 모두 압축해제 했다. 추출된 파일들을 확인해 보니 .docx와 .exe 파일이 있었다. 한눈에 봐도 .docx 형식의 파일이 많았다. 그래서 .exe 파일만 따로 검색해 보았더니 총 6개가 존재했다. 아마도 이 중에서 악성코드가 있을 것 같다. 6개의 파일 중에 becauseq1af2332.exe 파일만 권한이 필요하다. 이 파일이 악성파일인 것 같다. 해당 파일의 SHA256를 구했다. FLAG fiesta{bcb10a8e6250ecb14293..

주어진 가상머신을 VMware에서 실행했다. Documents 폴더를 보면 파일들이 랜섬웨어에 의해 암호화된 것을 볼 수 있었다. 해당 가상머신에서 다운로드 폴더를 확인해 보면, 총 5개의 프로그램을 확인할 수 있다. portry라는 앱이 총 3개(바탕화면 1개, 다운로드 폴더에 2개)가 있는데 그 중 1개가 랜섬웨어로 추정된다. 랜섬웨어의 해시를 구했다. FLAG fiesta{ad1553caa9f56cb7a43927f9d494eacb7df3cdc6d1a01ee3fe3c8ba696e}

exe 파일이 1개 주어진다. 주어진 파일을 exeinfo로 확인해 보면 Visual Basic으로 작성된 것을 확인할 수 있었다. VB Decompiler pro로 프로그램을 디컴파일 해보았다. Module2 -> Proc_4_0_405EF8에서 IP 주소와 PORT 번호를 확인할 수 있다. IP : 40.82.159.132 / PORT : 3117 Module2 -> Proc_4_3_40513C을 보면 var_8C를 Xor 7 하는 것을 확인할 수 있다. "rtbu" xor 7 = user ID : user 비밀번호도 마찬가지로 "dofidb65$#"에 xor 7을 하고 있다. PW : chance12#$ FLAG fiesta{40.82.159.132_1337_user_chance12#$}

PNG 파일이 주어진다. 해당 파일을 열어보면 secret message 1 문제처럼 FLAG가 가려져있다. 마찬가지로 가려진 FLAG를 찾아야 하는 것 같다. https://github.com/BishopFox/unredacter GitHub - BishopFox/unredacter: Never ever ever use pixelation as a redaction technique Never ever ever use pixelation as a redaction technique - GitHub - BishopFox/unredacter: Never ever ever use pixelation as a redaction technique github.com 픽셀화된 이미지를 해독하는 unredacter..

위와 같은 pdf 파일이 주어진다. 가려진 FLAG를 구해보자! pdftotext 툴로 pdf 파일에서 text를 추출하면 txt 파일이 생성된다. 추출한 txt 파일을 확인하면, FLAG를 확인할 수 있다! FLAG uoftctf{fired_for_leaking_secrets_in_a_pdf}

주어진 파일은 워드 파일이다. 해당 파일을 열어보면, 열 수 없는 파일이라고 나온다. olveba 툴을 이용해서 워드 파일 안에 있는 매크로 스크립트(VB script)를 추출하면, Sub AutoOpen() Dim v6 As Variant, v7 As Variant v6 = Array(98, 120, 113, 99, 116, 99, 113, 108, 115, 39, 116, 111, 72, 113, 38, 123, 36, 34, 72, 116, 35, 121, 72, 101, 98, 121, 72, 116, 39, 115, 114, 72, 99, 39, 39, 39, 106) v7 = Array(44, 32, 51, 84, 43, 53, 48, 62, 68, 114, 38, 61, 17, 70, 121..

이 문제는 DTMF에 관련된 문제다. DTMF : Dual Tone Multiple Frequency. 이중 톤 다중 주파수는 유선전화기에서 사용되던 신호 방식으로 흔히 유선 전화에서 들을 수 있는 다이얼 소리를 말한다. - 크게 전화기의 숫자 패드를 누를 때 나는 소리와 이외의 소리(통화중, 통화 대기, 통화 끊김)로 구분. https://cyberchef.io/#recipe=Extract_Files(true,true,true,true,true,true,false,true) CyberChef cyberchef.io CyberChef에서 파일 추출 기능을 사용할 것이다. Input에 추출할 파일을 끌어다 놓으면, 아래와 같이 파일이 추출된다. 추출된 파일 중에서 extracted_at_0x302.wav ..

문제에는 .pcap 파일이 제공된다. 프로토콜을 정렬해보면 EAPOL 패킷을 확인할 수 있다. EAP Enscapsulation over LAN (EAPOL) : LAN, WAN을 통해 EAP 인증 메세지 패킷을 캡슐화하여 전달하는 프로토콜 (802.1X에서 정의됨) ( http://www.ktword.co.kr/test/view/view.php?m_temp1=1843 ) Version (1 바이트) : 1 EAPOL 타입 (1 바이트) - 0 (EAPOL-Packet) . 캡슐화된 EAP 프레임을 운반 . 주고받는 EAPOL 프레임 대부분이 이 타입임 . Body Length = 가변 . 이때의 Body는, EAP 프레임이 수납됨 - 1 (EAPOL-Start) . 사용자단말측이 Authenticato..