(-.-)b

키 값을 찾아서 md5로 인코딩하는 문제인 것 같다. 파일을 다운받으면 아래와 같이 파일 형식을 알 수 없는 network_recover 파일이 나온다. HxD를 이용해 분석해보았는데, pcapng 파일의 헤더 시그니처인 것을 확인할 수 있었다. 확장자를 .pcapng로 바꾸고 와이어샤크에서 열어보았다. http로 필터링을 걸어보았다. html 파일과 treasure 파일들을 추출해보았다. 추출한 html 파일을 열어보니 그냥 treasure 파일들을 다운받는 웹사이트인 것 같다. treasure1 파일은 아래와 같이 알 수 없는 png 파일이었고, 2, 3 파일에선 얻을 수 있는 정보가 없었다. treasure 세 파일을 하나로 합치면 아래와 같은 이미지가 나온다.해당 값을 md5로 인코딩해보았다...

▶ jpg 파일 변조▶  플래그 {JPG_TXT_PNG}  문제 파일을 다운로드하면 아래와 같이 Enc, flag 파일이 있는 것을 확인할 수 있다.각 파일을 HxD에서 확인해보았다.Enc 파일의 경우 4D 5A (MZ) 로 시작하는 것을 확인할 수 있는데, 검색을 해보니 MZ는 .exe 실행파일에 사용되는 파일 형식이었다.  flag 파일은 jpg 확장자를 가지고 있지만 헤더 시그니처 값(FF D8 ~)이 보이지 않았다.문제 설명처럼 이 jpg 파일이 생성 중에 변조된 것 같다.  먼저 Enc 파일의 확장자를 exe로 바꿔주고 실행해보았는데, 옆 flag 파일에 이미지가 생겼다. 이미지가 잘려서 보이므로 flag 파일을 HxD에서 다시 확인해보았다.jpg 푸터 시그니처 (FF D9)를 검색해보니 두 개..

문제 페이지에 접속하면 아래와 같은 이미지를 볼 수 있다. 우선 사진을 다운로드 받아보니 png 형태로 저장이 되었다. HxD에서 파일을 열어보았는데 png 확장자의 header 시그니처인 89 50 4E 47로 시작하고 있는 것을 알 수 있다. 끝부분도 확인해보았는데, 'IEND'로 끝나는 png의 특징이 보이지 않았고 jpg의 footer 시그니처인 FF D9로 끝나고 있었다. png 시그니처로 시작하지만 jpg 시그니처로 끝나는 것을 보아, 두 이미지 파일이 합쳐져있는 형태라는 것을 유추할 수 있다. 검색 기능으로 'IEND'를 검색하여 png 파일의 끝부분을 찾아냈다. 그 옆에는 jpg 헤더 시그니처인 FF D8도 확인할 수 있었다. jpg 파일만 따로 얻어내기 위해 FF D8 부분부터 FF D9..

플래그가 있는 PDF 파일을 복구하는 문제이다. 일단 문제 파일을 다운받았는데, E01 파일이었다. 디스크 이미징할 때 많이 본 확장자라서 FTK Imager에 파일을 열어주었다. 열어보니 파일 내의 unallocated space 폴더에 7개의 파일이 들어있었다. 7개 파일 중 3개의 파일에는 아무런 정보가 담겨있지 않아서 4개 파일만 추출해주었다. HxD를 이용해 파일들의 정보를 확인했는데, 02067 파일에 pdf 헤더 시그니처가 있었다. pdf는 EOF.(End Of File)로 끝나는 특징이 있는데, 02067 파일에서는 헤더 시그니처만 있고 EOF는 발견할 수 없었다.다른 파일을 찾아보니 05082 파일의 끝부분이 EOF였다.이를 통해 하나의 pdf 파일이 여러 파일로 분할되어 있다는 것을 알..

포렌식 18번 문제 페이지에 들어가면 아래와 같이 숫자가 나열되어 있다. ASCII 코드인 것 같아 변환기를 사용해 문자열로 바꿔주었다. 변환하니 아직 인증키로 추정되는 텍스트는 보이지 않았다. 여기서 Base64로 다시 디코딩하니 문자열과 인증키가 나왔다. 써니나타스 메인페이지에서 AUTH를 클릭하고 인증키를 입력하면 문제가 해결된다. 문제풀이에 사용한 웹사이트 아스키 코드 변환기 https://ko.rakko.tools/tools/76/ 텍스트-ASCII 변환기 / 번역기 : ASCII에서 텍스트로, 텍스트에서 ASCII로 | RAKKOTOOLS🔧 텍스트를 아스키로 또는 아스키를 텍스트로 변환 ko.rakko.tools Base64 디코더 https://www.base64decode.org/ Base..