물먹는산세베리아

보호되어 있는 글입니다.

서론 HPA(Host Protected Area / Hidden Protected Area)는 HDD에 의해 미리 예약된 영역으로 ATA-4(저장 장치와의 통신을 위한 규약)에서 제시되었다. 시스템 부팅, 진단 유틸리티, 시스템 복구, 보안 유틸리티 저장 등에서 사용되나 루트킷을 통한 악의적인 용도 및 데이터 은닉 등의 악의적인 용도로도 사용가능한다. * ATA 호스트에 하드 디스크 또는 CD-ROM 장치 등을 연결하기 위한 인터페이스 병렬버스 규격으로 시작하여 PC 분야에서는 표준적인 인터페이스로 발전되어 왔음 *ATA-4의 기능: ATAPI (CD-ROM, 테이프 드라이브 등 지원)오버랩, 큐 명령 집합 기능 (선택 사항), 호스트 보호 영역 (HPA) * 루트킷 시스템에 전반적으로 접근할 수 있는 ..

문제 풀이 unzip 명령어로 zip 파일을 풀었고, '사용자'를 찾으라고 했으므로 계정 정보를 보면 될 것 같다. 계정 정보는 etc 폴더에서 passwd, shadow 파일을 보면 된다. [ shadow 파일 ] 계정명:암호화된 패스워드(*):패스워드 최종 수정일:변경 전 최소 사용시간(0은 언제든지 변경 가능):변경 전 최대 사용시간(99999는 오랫동안 패스워드를 바꾸지 않았음):패스워드 만료일 전 경고메시지 제공기간:매스워드 만료 경고기간:계정만료기간:예약필드 [ passwd 파일 ] 계정명:패스워드:UID:GID:계정정보:홈디렉터리:계정 기본 쉘 문제는 이 중 어떤 계정을 말하는 건지 모른다는 건데 '바보 같은' 사용자라고 했으니까 쉽게 뚫리는 패스워드를 가진 계정을 말한 게 아닌가 싶다. j..

문제 풀이 주어진 xz 파일을 리눅스 tar 명령어로 풀어보았다. xz로 압축을 풀면 RunMe.DMP 파일이 나온다. 그냥 cat로 이 파일을 보려고 하면 이상한 문자들이 나온다. strings명령어로 RunMe.DMP를 분석하면 문자들이 나오긴 하나 바로 flag를 찾기에는 너무 많은 내용들이다. 어차피 flag 형식이 SharifCTF로 정해져있기 때문에 grep을 사용해 다시 flag을 찾아보았다. 윈도우 작업 관리자에서 우클릭 하라는 제목은 써보지도 못했고,, 그냥 strings만 해도 나오는데 원래 이렇게 푸는 게 맞나? 싶다. 다른 정석 방법이 있지 않을까 정답

문제 풀이 파일을 풀면 jpg 파일 하나와 zip 압축파일 하나가 나온다. ke0n9.zip 파일은 암호로 잠겨있는데 cewe.jpg에 암호를 숨겨놨을 것 같다. HxD로 열었을 때 이상한 점이 딱히 보이지는 않아서 속성을 열어봤다. 누가봐도 수상한 설명이 적혀 있다. HxD를 통해 문자열을 얻어와 Base64 디코터에 넣어주었다. 보통 Base64로 인코딩을 하기 때문에 넣어주었는데 바로는 안 나왔고 이상한 문자가 나오기 전까지 반복해서 복호화시켜주었다. ke0n9.zip 파일의 암호이다. 압축을 풀면 파일이 하나 나오고, hxd로 열면 바로 flag가 보인다. 정답

문제 풀이 jpg파일이 하나 주어졌는데 확장자를 두번 쓴 것으로 보아 다른 이미지가 안에 하나 더 있을 것 같다. HxD로 열어보면 jpg 파일의 헤더 시그니처가 여러개 있는 걸 볼 수 있고, 푸터 시그니처인 FF D9 또한 여러개 있는 걸 확인할 수 있다. 이 중 세번째 헤더 시그니처 부터 두번째 푸터 시그니처값을 긁어와 jpg로 저장해주면 새로운 이미지가 만들어진다. 좌우반전 하면 flag가 보일 것 같다. 시행착오로 두번째 헤더 시그니처로 했을 때 이상한 모니터 그림? 도 봤었는데 화질이 너무 안좋아서 누가봐도 flag는 아니었다. 정답

문제 풀이 FTK Imager [linux] strings 주어진 img 파일은 바로 FTK Imgaer에서 열어보았다. 전부 내용이 0으로 되어 있길래 저번처럼 strings을 쓰면 되겠거니 싶었다. 몇개 확인해본 결과 3936은 아무 내용 없었고, 저 중 가장 큰 크기를 가진 8562에서 flag를 발견할 수 있었다. 띄어쓰기 하나하나 붙이기 귀찮아서 메모장에서 바꾸기 기능을 통해 띄어쓰기 부분을 없애주었다. 너무 간단하게 풀어서 이 문제가 의도한 과정이 이게 맞는지는 모르겠다. .. 정답

문제 풀이 apktool apk 파일이 주어졌고, 힌트로 코드를 언급한 걸로 보아 디컴파일하면 뭔가가 나오지 않을까 싶었다. apk 소스 추출이라고 검색해보니 apktool이 가장 상단에 있었다. 다운로드 ㄱㄱ #apktool 다운로드 사용법 run()함수 안에서 base64로 인코딩된 듯한 문자열을 하나 발견했다. 정답

문제 풀이 [Tool] FTK Imager [linux] file, blkls 문제에서 준 gz파일을 열어보면 확장자가 없는 파일 하나가 보인다. 헤더 시그니처가 '1F 8B 08'인 것으로 보아 gzip 파일이다. 추출해서 .gz 확장자를 붙였다. 추출했던 파일을 FTK Imager에 넣어주었다. 역시나 좀 전처럼 같은 이름의 파일이 하나 들어있었는데, 이번에는 점 더 크기가 컸고, 첫 시작이 00000~ 이었기 때문에 바로 어떤 파일인지 파악할 수 없었다. file은 지정된 파일의 종류(타입)을 확인하는 리눅스 명령어이다. file 명령어로 해당 파일이 ext3 파일 시스템 데이터인 것을 확인했다. 다시 FTK Imager로 열어보았다. 문제에서 slack이라는 힌트를 줬기 때문에 이게 뭔지부터 알아..

보호되어 있는 글입니다.