Yum_Yum

Multimedia Forensic #66 (저는 미치지 않았어요.)

문제 파일을 다운로드하면 tar.gz 확장자 파일인 것을 확인할 수 있다.

해당 파일을 리눅스로 옮겨서 압축을 해제하였다.

압축을 풀어주면, Cooper.exe라는 파일이 생성된다.

해당 파일에 대한 정보 확인을 위해, file 명령어로 확인하였다.

윈도우 운영체제 실행파일로 확인되었다.

해당 파일을 확인해보면, 다음과 같은 화면이 출력된다.

파일 실행만으로 플래그를 알 수 없어서, HxD를 통해 해당 파일을 분석하였다.

HxD로 분석한 결과, PDF 파일의 시그니처가 바로 보인다.

따라서 실행파일 내부에 숨겨진 PDF 파일이 있다는 것을 확인하였다.

다시 리눅스에서 foremost 도구를 사용하여 숨겨진 파일을 카빙하였다.

foremost : 데이터 복구를 위한 카빙 도구로 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제  등에 자주 사용되는 도구

설치 사이트 : http://foremost.sourceforge.net/ 

위 명령어를 통해 숨겨진 파일들을 추출하였다.

카빙 결과로 zip 파일과 pdf, zip 3개 형태의 파일이 추출 된 것을 확인할 수 있다.

zip 파일과 exe 파일에서 별다른 정보가 없어서, pdf 파일을 실행해 보면 암호가 걸려 있다.

해당 pdf를 열기 위해 비밀번호를 찾아야 하므로 pdfcrack 도구를 사용하여 비밀번호를 확인하였다.

pdfcrack : PDF 파일에 설정된 비밀번호를 무차별 대입 공격을 통해 풀어주는 도구

다운로드 : http://soft.rubypdf.com/software/pdfcrack

그리고 사전 공격의 단어 리스트로 자주 사용되는 단어들을 모아둔 파일인 rockyou.txt 파일을 통해 pdfcrack을 실행하였다.

pdfcrack 폴더에 문제 파일과 텍스트 파일을 다운 받아 넣어준다. (pdf 파일 이름이 길어서 수정..)

cmd를 실행시킨 다음, pdfcrack.exe 파일이 있는 경로로 이동하여 위 화면과 같이 실행할 수 있다.

결과에서 sheldon이라는 비밀번호가 PDF 파일의 비밀번호라는 것이 확인된다.

결과대로, PDF 파일의 비밀번호를 입력해주면 위 화면과 같은 사진이 나오면서 밑에는 문제 플래그가 적혀있다.

밑에 문자열을 플래그로 입력해주면, 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Multimedia Forensic #52 (pdf파일 암호를 잊어...)

문제 파일을 다운로드하면 PDF 파일이라는 것을 확인할 수 있고, 파일을 실행하면 암호가 걸려 있다.

이번 문제는 파일의 암호를 찾는 문제이고, 무차별 대입 공격(Brute Force)을 통해 해결할 수 있는 문제인 것 같다.

무차별 대입 공격 : 특정 암호를 풀기 위해 모든 경우의 수를 무작위로 대입하여 암호를 푸는 공격 방법을 의미

문제 파일인 pdf의 암호를 풀기 위해 pdfcrack이라는 도구를 사용하였다.

pdfcrack : PDF 파일에 설정된 비밀번호를 무차별 대입 공격을 통해 풀어주는 도구

다운로드 : http://soft.rubypdf.com/software/pdfcrack

다운로드하고 압축을 풀어주면, pdfcrack 폴더 안에 exe 파일이 있다.

같은 폴더 안에, 문제 파일도 같이 넣어준다.

이제 pdfcrack.exe를 cmd를 통해 실행시켜 준다.

위 화면대로 pdfcrack.exe를 실행시킬 수 있다.

하지만, 위 화면대로 실행하면 비밀번호를 찾는 시간이 너무 오래 걸린다...

정말 너무 오래 걸린다.. 하하

그래서 빠르게 풀기 위해 사전 공격(Dictionary Attack)의 단어 리스트로 자주 사용되는 단어들을 모아 둔 rockyou.txt 파일을 통해 시도하였다.

맨 처음 보이는 사이트로 들어가게 되면, wordlist(rockyou.txt) 파일을 다운받을 수 있다.

pdfcrack 폴더에 문제 파일과 rockyou.txt 파일을 넣고, 다시 cmd를 실행시킨다.

사전 공격(Dictionary Attack)을 통해 해당 PDF의 비밀번호가 elephant라는 것을 확인하였다.

이제 비밀번호를 통해 PDF 파일을 열어 보면 다음과 같은 화면이 나오게 된다.

비밀번호를 사용해 PDF 문서를 열어 보면 플래그를 보여주지 않는다.

그럼 플래그는 어디 있지? 생각하다가 한번 PDF 파일의 본문을 드래그해봤다.

파일을 드래그하면, 밑에 무언가가 적혀 있는 것이 확인된다.

그대로 복사 - 붙여 넣기를 해서 보면 플래그를 확인할 수 있다.

다음과 같은 방법으로, 플래그 확인이 가능하며 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #26 (범죄자는 자신의 인생을...)

이번 문제 파일은 dd 확장자를 가진 이미지 파일이다.

해당 파일 분석을 위해 HxD로 열어 확인하였다.

HxD로 여는 대신, 해당 파일을 섹션으로 나눠서 보기 위해 HxD의 [기타 설정 메뉴] - [디스크 이미지 열기] 기능을 통해 파일을 확인하였다.

화면과 같이 섹터가 적혀 있는 것을 확인 가능하다.

분석하던 도중, 3000번 섹터에 화면과 같은 JPEG 파일 시그니처를 확인하였다.

이를 통하여 이미지 파일 안에 JPEG 형태의 사진이 있다는 것을 추측할 수 있다.

이미지 파일 추출을 위해 리눅스 환경에서 foremost 도구를 사용하여 파일을 추출하였다.

foremost : 데이터 복구를 위한 카빙 도구로 네트워크 패킷 데이터 추출, 악성코드 분석, CTF 포렌식 문제  등에 자주 사용되는 도구

설치 사이트 : http://foremost.sourceforge.net/ 

위 이미지 파일은 추출된 jpeg 이미지 파일이다.

하지만 해당 이미지 파일의 md5 값을 문제의 플래그로 인증하면 인증이 되지 않는다.

위 이미지 파일을 자세히 보면, 이미지 중간에 초록색 선으로 조금 어긋나 있는 것을 확인할 수 있다.

이 문제 때문에 완전한 이미지가 아니라서 인증이 되지 않는 것을 추측할 수 있다.

자세한 분석을 위해, jpeg 이미지 파일을 HxD로 위 방법대로 다시 확인하였다.

분석 결과, 데이터 값 중간이 0으로 덮여 있는 부분을 확인 가능하다.

0으로 되어 있는 부분을 지워 이미지를 편집하면 정상적인 이미지가 나올 것 같다.

0으로 쓰여져 있는 부분을 쉽게 확인하기 위해 jpeg 이미지 파일을 위 방법을 통해 섹터로 확인하게 되면 0섹터 ~ 15561 섹터 중에 0으로 쓰여져 있는 부분은 3000섹터 ~ 5999섹터, 9000섹터 ~ 11999섹터라는 것을 확인할 수 있다.

지워야 하는 영역을 확인하였으니 해당 부분을 제거하기 위해, 리눅스 환경에서 dd 명령어를 이용하여 섹터 단위로 데이터를 선택해 수정할 수 있다.

※ dd 명령어 사용법

• if : 파일 입력

• count : 입력된 블록의 크기만큼 복사

• skip : 파일의 시작부터 입력 값 만큼의 블록을 건너 뜀 

0값을 지운 정상적인 이미지 파일의 화면이다.

이제 md5 값 확인을 위해 md5sum 명령어를 사용하여 플래그를 확인한다.

md5sum 명령어를 통해 나온 결과값을 플래그로 입력하게 되면, 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #21 (데이터센터 중 하나가 정보의...)

문제에서 Docs~ 이름으로 된 zip 파일이 주어진다.

압축을 해제하면 jpg 파일과 pdf 파일, Thumbs.db 파일 등을 확인할 수 있다.

이미지나 다른 파일에서는 플래그에 대한 정보가 없어, Thumbs.db 파일을 분석하였다.

Thumbs.db는 윈도우에서 이미지 파일 미리보기를 사용할 때 생기는 파일로, 이미지 파일에 접근하기 전에 Thumbs.db 파일에서 먼저 확인하여 미리보기 속도를 향상시킴

Thumbs.db 파일 확인을 위해 Thumbs Viewer 도구를 통해 분석하였다.

Thumbs Viewer : Thumbs.db 파일에 어떤 내용이 담겨 있는지 볼 수 있는 프로그램

설치 사이트 : https://thumbsviewer.github.io/

Thumbs Viewer를 실행하여, Thumbs.db 파일을 오픈한 화면이다.

6번 파일에 이번 문제 플래그 포맷에 맞는 문자열이 보인다.

6번 파일을 더블 클릭한 뒤에, 해당 문자열을 복사 - 붙여넣기를 통해 플래그를 인증할 수 있다.

위와 같은 방법으로 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #11 (fore1-hit-the-core)

주어진 문제 파일의 확장자는 거의 처음 보는 core라는 확장자의 파일이다.

해당 파일의 자세한 정보 확인을 위해 file 명령어를 사용하여 확인하였다.

file 명령어를 사용해 확인해보면 ELF 형식의 파일이라는 것을 확인 가능하다.

ELF 형식의 파일과, core 확장자로 미루어 보아 해당 파일은 코어 덤프 파일이라는 것을 추측할 수 있다.

코어 덤프 파일은 컴퓨터 프로그램이 특정 시점에 작업 중이던 메모리 상태를 기록한 것으로,

보통 프로그램이 비정상적으로 종료했을 때 만들어짐

따라서 메모리 내용이 기록되어 있으므로 플래그 값도 기록되어 있는지 확인을 위해 문자열 검색을 통해 플래그에 대한 정보를 분석하였다.

문자열 확인을 위해 strings 명령을 통해 분석하였다.

분석하던 도중, 여러 문자열 중에서 이상한 문자열을 확인하였다.

겉으로 보기에는 일반 문자열 같지만, 플래그의 형식에 들어가는 _ 문자와 {} 문자가 들어가 있는 것을 이상하다고 생각하였다.

자세히 분석해보면 위 문자열은 플래그에 대한 간단한 규칙이 있다.

중괄호 앞에 대문자 글자들만 확인해보면 ALEXCTF라는 문자열을 확인하였고, 이 문자열은 플래그 포맷에 해당하는 문자열이다.

또한 해당 문자열이 A부터 시작하여 5번째 마다 대문자 문자가 있는 것을 확인 가능하며, 해당 규칙이 플래그 값을 추출해내는 규칙이라고 추측해볼 수 있다.

화면대로 문자열을 규칙대로 조합해보면 하나의 플래그가 만들어진다.

문자열 추출을 위한 코드를 Python으로 작성하면 다음과 같다.

따라서 추출한 문자열을 플래그로 입력하게 되면, 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #10 (저희는 디스크 이미지를 찾았습니다.)

문제 파일로 img 확장자 파일이 주어진다.

확장자의 자세한 정보 확인을 위해, file 명령어를 사용하여 확인하였다.

확인 결과, ext2 파일 시스템의 데이터라는 것을 확인 가능하다.

데이터 복구를 위해 foremost 도구를 사용하여 파일 시스템 속의 파일을 복구하였다.

foremost : 데이터 구조를 기반으로 손실된 파일을 복구하기 위한 카빙 도구

위 화면과 같이 명령을 수행하게 되면 output이라는 디렉토리가 생성되고, 복구된 파일 확인이 가능하다.

output 디렉토리 안에서 확인할 수 있는 파일이다.

jpg 디렉토리와 audit.txt라는 두 개의 파일을 확인하였다.

jpg 파일에 뭔가 있을 것 같아 디렉토리를 열어 사진들을 분석하였다.

화면과 같이 총 3개의 jpg 파일이 확인되었다.

첫 번째 사진을 확인해보면, 오리 사진에 플래그가 적혀있다.

사진에 나타난 문자열을 플래그로 입력해주면, 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934