hoodbilen's warroom

문제를 보니 첨부파일을 봐야겠다.

사진을 보니 별 다른 힌트가 없어서 트위서에 닉네임을 검색했습니다.

음 쉽게 뜨네....

이 문제는 처음에 감을 잘못 잡아서 오래 걸린 문제이다...

사실 딱 보면 각각의 글자들이 암호와 되어있고 맨 앞에 네 글자가 FLAG로 시작한다고 감이 온다.

필자는 crypto를 생각해서 네글자를 가지고 나머지 글자를 추측하는 문제인줄 알았는데 도저히 네글자로는 문제가 풀리지 않았다.

해서 google에 predator lsnguage를 쳤더니 비슷한 모양의 글자들이 나왔다.

이것에 맞춰 decoder했더니 flag를 구할 수 있었다. 참고로 대문자 T와 소문자 o같이 똑같아 보이는 글자도 있어서 애먹었다...

이번에는 forensic다음으로 많이 푼 misc 관련 문제를 wirte_up해보겠다.

이 문제는 nc가 있는거로 봐서 터미널에서 접근하는 문제 같다.

터미널로 들어가보니 가위바위보를 하란다.

조건이 아무래도 이기는것 같은데...

1,2,3,1,2,3,3을 쳤는데 바로 이겼었다. 당시에 풀때는 번호 한개를 계속 넣어서 풀었는데 wirte_up을 쓸때 한번호면 계속 넣으니 버퍼(?)가 터졌다...

(조건식이 감이 안잡힌다...후에 알게되면 서술함)

처음 이 문제를 봤을 때 zero width space에 대한 개념조차 없어서 많이 해맸다.

zero width space란 컴퓨테의 조판에 사용되는 비표시 문자로 문자 처리 시스템에 대하여 단어의 단락을 나타내는데 사용된다. 보통, 여어 등의 띄어쓰기를 하는 언어에서 문장의 도중에 개행을 넣을 경우에는 공백 기호의 위치에서 행해진다. 하지만, 빗금 등의 기호뒤 등 공백은 넣지 않지만 개행을 해도 좋은 곳이나 일본어 등의 띄어쓰기를 하지 않는 언어에서 개행할 수 있는 위치를 명시하기 위해서 폭 없는 공백이 사용된다.

우선 감이 안와서 decode을 쳐봤는데.....

누군가 zero width space 관련 incoding decoding 코딩을 짜서 데모버전을 사이트로 올려놨다.

여기에 아까 문제에서 본 '사실난띄어쓰기를했다'를 복사해서 넣었더니 FLAG가 나왔다.

이 문제는 물건 거래 장소를 찾아내는 문제이다. 첨부파일을 보니 pcap임으로 wireshark를 이용해 푸는 문제인것같다.

우선 wireshark를 열어 수상해 보이는 패킷을 찾는다.

해당 패킷을 follow해본다.

follow한 값을 Raw로 data변환해 save as한다.

사진 파일일것 같아 png파일로 저장했는데 바로 거래장소가 떳다!!!

이 문제에 첨부파일은 음악파일임으로 sonic visualisal을 이용해 분석해 보겠다.

sonic visualisal > Add Spectogram > Hold_ME_PLZ기능을 이용해 보겠다.

짠 하고 플래그가 보인다.

이 문제는 사실 시작부터 난관이였다. 첨부파일이 tar로 압축된 hi파일인데 압축을 풀어도 똑같은 압축 파일이 나와서 압축파일에 문제가 있는게 아닐까 고민하느라 많은 시간을 허비했다.(그냥 계속 풀면 되는거임)

이런식으로 계속 풀어주면

이런 식으로 사진파일이 뜬다.

보기엔 수상한 점이 하나도 없어 이번에도 steganography를 중점으로 풀어봤다. 우선 HxD에 넣으면

JFIF파일임으로 ANAGRAM과 마찬가지로 FF D9을 찾는다.

이번엔 뒤에 png파일이 있음으로 확장자를 png로 바꿔 저장한다.

파일을 저장해 열어보자 해당 파일이 나왔다. 보기에 모스 부호여서 손수 해독을 해보니....FLAG가 따였다.(해독은 스스로!)

우선 forensic관련 문제를 모두 풀었음으로 forensic문제들을 순차적으로 write_up해보겠다.

우선 flaglsHere.jpg를 다운 받는다.

우선 jpg파일임으로 HxD에 넣어 본다.

HxD에 넣어보면 JFIF파일인걸 알 수 있음으로 steganography를 생각하며 JFIF의 footer signatuar인 FF D9를 찾아 봅니다.

보면 FF D9뒤로 PK파일이 이어져 있는것을 볼 수 있다. 해당 뒷 부분만 통째로 복사하면

PK는 zip파일일 확률이 높음으로 확장자를 zip으로 바꿔서 저장해줍니다.

zip파일을 들어가면 word파일로 flag.docx가 있다!! 들어가면!!

이런 문장이 적혀있다. 감이 안잡혀서 구글에 쳤는데...

!!!!!

이렇게 해서 이 문제를 해결 했다.