Wargame (51) 썸네일형 리스트형 [Reversing.kr] Easy ELF IDA Pro로 왜인지 안 열린다 싶었는데 가상머신 Windows 7 x64 에서는 열린다. 왜지? 같은 파일인데 여기서는 안되는게 거슬리지만 아무튼 분석을 해보겠다. main 함수를 보자. sub_8048434는 scanf를 통해 사용자로부터 문자열을 입력받고, sub_8048451은 입력값이 조건을 만족하면 1을 반환하여, sub_80484F7이 호출되게 하고 프로그램이 "Correct" 문자열을 출력하게 한다. 그 조건이 뭔지 알아야하기 때문에 sub_8048451 을 뜯어보도록 하자. 각 블록이 각각의 조건을 만족해 점프가 수행되고 1을 반환한다. string[0] ^ 0x34 == 0x78 string[1] == '1' string[2] ^ 0x32 == 0x7C string[3] ^ 0x88 .. [Reversing.kr] Easy Unpack 이러길래 가상머신에서 열어주었다. 압축파일을 열고, ReadMe.txt 를 확인하니 OEP를 찾으란다. Plugins > Generic OEP Finder 답이 나왔다. 00401150 [Reversing.kr] Easy Keygen Serial 값이 5B134977135E7D13인 Name 을 찾는 문제이다. 파일을 실행하니 저런 식으로 Name과 Serial을 입력받길래 아무렇게나 쳐봤는데 답이 아니라 그런지 그냥 꺼졌다. 이번 문제는 Ollydbg 로 풀어볼까 한다. x32로 여는거더라. Ctrl + g 로 401000 main 함수를 검색한다. 마지막 세줄이 좀 특이하다. 0x10, 0x20, 0x30 을 각각 esp+10, esp+11, esp+12 에 저장하는걸 볼 수 있다. 위의 루프에서 name 과 xor 키 연산을 통해 serial num 을 생성하는 것을 볼 수 있다. 위의 부분에서 serial num을 계산하는데, [esp+esi+c] 에는 0x10, [esp+ebp+10] 에는 입력한 name의 첫 글자, [es.. [Reversing.kr] Easy Crack 다운받은 exe 파일을 실행하니 위와 같은 화면이 나온다. 아무 숫자나 넣어봤더니 위와 같은 메시지가 나왔다. 옳은 패스워드를 찾아내는 문제인 듯 하다. Immunity Debugger로 열어서 Search for > All referenced text strings 로 문자열 보기 Congratulation!! 으로 이동해보자. 함수의 시작 부분인 00401080 SUB ESP 64 에 F2를 눌러 Break Point를 걸고, 보도록 하자. 캡쳐는 그냥 한 장에 다 들어가게 했지만. 004010B0 에서 [ESP+5] 값과 0x61을 비교하여 같지 않으면 실패를 출력하는 부분으로 CMP, 점프하는걸 알 수 있다. 16진수 61은 문자로 a이다. 입력값으로 1234를 넣고 메모리에서 ctrl+g를 눌러.. GrrCON 2015 #1, #2, #3, #4, #5, #6 http://www.ctf-d.com/challenges 저기서 파일을 다운받는거라던데 열리지 않아서 문제를 어디서 구해야할까 걱정했는데, Target1-1dd8701f.vmss 파일로 #1 ~ #16 문제를 전부 푸는거라고 하더라. vmss는 가상 머신에서 일시 중지(suspend) 상태일 때 운영체제 상태를 저장한 파일 확장자이다. 풀어보자. #1 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 주소는 무엇인가? volatility 라는 오픈 소스 기반으로 CLI 인터페이스 제공하는 메모리 분석 도구를 사용한다. -h : 플러그인 옵션 확인 -f 분석 대상 파일 imageinfo : profile .. 우리의 추억들 N0Named Wargame 사이트가 안 열려서... 받은 파일로 문제를 풀어보겠다. 실수로 삭제한 사진을 복구하는 문제라고 한다. 압축 파일 암호 fun_cool_and_sexy_forensic_> AppData -> Local -> Microsoft -> Windows -> Explorer 저기 보이는 DB 중에 수상해보이는 녀석들 몇개를 Export Files 해준다. 저 안에 플래그가 있다고 한다. Thumbnail Database Viewer 로 열어주면... 대체 왜 파일 열기를 했는데 아무 일도 일어나지 않는걸까? 96.db는 흰 화면이고 1280db, 1920.db, 2560.db 는 저런 식의 깨진 화면이 나온다. 왜인지 계속 오류가 나서... 툴도 다시 깔고 과정을 처음부터 해봤는데도 .. [Dreamhack] FFFFAAAATTT 일단 문제 이름을 보니 FAT32 File System 부트 레코드 관련 문제인 것 같다. 다운받은 파일을 HxD로 열어서 위와 같이 [ 도구 -> 디스크 이미지 열기 -> 512 ]를 선택하면 시스템 이미지 파일이라는걸 알 수 있다. Fix the Disk!!!! 라는 문자열이 계속 나오다가 RRaA라는 글자 뒤로 보이지 않는 것을 확인할 수 있다. Fix the Disk란 말은 뭔가 손상된 것을 고치란 말이겠지. 지금 내 파일에서는 왜인지 안 보이는데... 섹터 0 부분에 Fix the Disk! 문자열이 들어가 있어서 정상적으로 인식이 안된다고 한다. RRaA 바로 윗줄까지는 섹터 0 이고 RRaA부터는 섹터 1 이다. Exterro - E-Discovery & Information Governan.. 입사 테스트 [2] TweakPNG (entropymine.com) 위의 링크에서 TweakPNG 툴을 다운받자. HxD로 열어보자. 헤더 시그니처가 PNG의 89 50 4E 47 0D 0A 1A 0A 와 중간에 두개 빼고는 같다. 근데 푸터 시그니처는 PNG의 49 45 4E 44 AE 42 60 82 와 JPEG의 FF D9 가 붙어있는 것이다. PNG 같으니까 헤더 시그니처와 푸터 시그니처를 수정해주었다. 파일을 다시 열어보았지만 까만 화면이다. TweakPNG x86을 사용하여 png로 고친 파일을 열어주었다. 순서를 변경하고 싶은 청크 위에서 우클릭을 하면 Move Up, Move Down 을 할 수 있다. 그럼 APNG 파일 청크를 다음과 같은 순서로 정렬해준다. IDAT 이 두개 있을 땐 length가 긴 것을.. 이전 1 2 3 4 5 6 7 다음
