Blog Content

TitleWho's Notebook? DescriptionKorean내친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다.A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다.이 노트북의 주인을 찾아주자. 인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지인증키는 모두 대문자로, 띄어쓰기무시예) PLACE1_PLACE2_PLACE3 [그림 1]문제를 다운받으면 Notebook 파일명을 가진 파일이 받아진다. 얼핏봐서는 어떠한 파일인지 알 수 없으니 Winhex로 열어보았다. [그림 2]Winhex로 파일을 열면 ADSEGMETEDFILE 이라고 한다. 어떠한 파일인지 알아보기 위해 구글링해보니 Access Data에서 지원하는 File For..

Title Password Recover... DescriptionHi, I'M ZZANGHACKER.I Lost My Password in XCZ.KR T.THelp Me!! Download Here▣ 문제 개요문제 지문을 살펴보면 짱해커가 XCZ.KR사이트의 패스워드를 잊어버린것같다. 네트워크 문제인 것으로 보아 패킷을 분석하여 해당 사이트의 로그인과 관련된 패킷을 찾아내면 문제해결의 단서가 보일 것 같다. [그림 1-1]문제 파일을 다운받으면 pcap 확장자를 가진 파일이며 와이어 샤크를 통해 패킷을 분석해보자. [그림 1-2]wireshark로 파일을 열어보면 수많은 패킷들이 보이며 패스워드와 관련된 로그인 패킷을 찾기위해 POST방식의 패킷들을 추려보았다. [그림 1-3]POST방식의 패킷들을 ..

Title Network Recovery! DescriptionKey Format = lowercase(md5("key"))Download Here▣ 문제 개요문제를 보면 네트워크 복구 라는 타이틀이 주어져있고 키포맷을 살펴보면 키값을 구한 뒤 md5로 인코딩을 진행한 후 소문자로 바꿔주면 문제가 해결될 것으로 추측된다. [그림 1-1]문제를 다운받으면 network_recover 파일이 생성되고 확장자가 명시되어있지않으니 winhex로 열어보자. [그림 1-2]Dumpcap은 와이어샤크 패킷파일(pcap)이다. 해당 파일을 wireshark로 열어보니 약 1000개쯤 패킷파일을 확인할 수 있다. [그림 1-3]패킷을 살펴보는중 문제와 연관되있을거라 생각되는 패킷을 하나 발견하였다. 상세하게 확인해보기 ..

[그림 1-1] ▣ 문제 개요 문제를 들어가보면 타이틀에 End of Image (이미지의 끝) 라고 적혀있고 why so serious? 라는 png파일이 있다. png 이미지파일을 hex editor로 열어보면 이미지의 끝에 힌트가 있지않을까 ? winhex를 이용하여 이미지를 열어보자 [그림 1-2]offset 첫부분을 살펴보면 png파일 header 시그니처 89 50 4E 47 0D 0A 1A 0A를 찾아볼 수있다. header 시그니처를 찾아봤으니 이미지 끝에 있는 footer 시그니처를 확인해보자! [그림 1-3] png파일의 footer 시그니처는 49 45 4E 44 AE 42 60 82 로 알려져있지만 문제의 png 파일에서는 JPG파일의 footer 시그니처인 FF D9가 있다. 첫부..