forensic-focus

[System] Return Address Overwrite Write-up

gdbpwntool주어진 C 코드 파일을 봐보자. 코드 파일을 보고 느낀건 Buffer OverFlow 문제라는 걸 알 수 있었다. - 버퍼링 비활성화 : 표준 입력에 대한 버퍼 끄는 것 - get_shell() : execve() 시스템 호출을 통해 /bin/sh 쉘을 실행하는 함수 char buf[0x28];→ 크기 40byte의 버퍼 선언 → 크기를 40byte로 정해놓았기 때문에 정해놓은 크기 이상으로 입력이 되면 스택의 다른 영역까지 덮어 쓰이는 Buffer OverFlow 발생 이제 디버깅을 통해 flag를 찾아보자! main+4에서 rsp에 0x30 을 통해서 buffer를 설정한다. 요 아래의 코드 이다. char buf[0x28];main+39에서 scanf의 두 번째 인자 (버퍼)..

[Web] php-1 Write-up

문제 설명에 LFI 취약점을 이용하라는 말에 해당 취약점을 찾아봤다. LFI ( Local File inclusion )란?공격자가 공격 대상 웹 애플리케이션을 통해 서버의 파일을 불러오거나 실행할 수 있게 하는 보안 취약점이다.php와 같은 서버 측 스크립트 언어에서 발견되며, 애플리케이션의 입력 검증 부족으로 인해 발생.주로 php 코드 상에서 include() 사용 시 input에 대한 필터링 이루어지지 않아 발생.웹 서핑을 하며 찾아보면서 적힌 글들을 보면 PHP Wrapper라는 우회 방법을 쓰면 된디고 많이 적혀 있었다.https://www.php.net/manual/en/wrappers.php PHP: Supported Protocols and Wrappers - ManualPHP is a..

[Web] Ctrl-C Write-up

bytes_to_long: 바이트 배열을 정수로 변환.long_to_bytes: 정수를 바이트 배열로 변환. SHA-256 → base64 → 특정 부분 → XOR → 특정 바이트 결과 출력이 로직인걸로 보였다 그래서 해당 코드를 실행하여 위 제공된 코드를 넣어 보았다 위 VM의 주소는 드래그가 되지 않아서 ChatGPT로 캡처해서 보여줬지만 추출을 잘하지 못했다.그래서 구글 웹 스토어에서 아래의 확장 프로그램 설치를 했다. flag가 나왔다. WaRP{1_w4n7_5h0r7cu7_k3y}

[Forensic] snowing! Write-up

문제를 받고 압축 파일을 풀었다. 플래그 값이 당연히 fake라는 단어가 들어있어 거들떠도 보지 않았다. snow.jpeg 파일을 살펴보겠다. JPEG 파일의 헤더 FF D8 FF E0 00 10 4A 46 49 46 가 정상적으로 있는 것을 확인할 수 있다.JPEG 파일의 푸터 FF D9 도 정상적으로 있다. 다른 파일의 확장자(png, pdf, zip, docx, ppt, xlsx)의 헤더 푸터도 모두 입력해 보았지만 삽입된 다른 파일의 흔적을 찾을 수 없었다. 해당 이미지 파일로는 이상함을 느낄 수 없어서 아까 무심코 넘겼던 flag.txt 파일을 다시 살펴보자.문제 설명에 있듯이 눈이 많이 내린게 보인다.그리고 반복되는 hexa값 09 20 20 20 20 09 를 볼 수 있다. 근데..

링크에 들어가 파일을 다운받고 보니 이미징 파일이었다..001 확장자인 이미징 파일이기 때문에 해당 이미징의 구조를 확인하기 위해 FTK Imager를 통해 확인해 볼꺼다.  -> Evidence Tree 부분에 Unrecognized file system로 파일 시스템 확장자가 인식이 안된다는 소리다. 인식이 안된다고 한다면?-> Boot Record부분이 손상되거나 내용이 빠져있다는 소리다.아래의 hexa값을 보면 Boot Record가 와야하는 자리에 Fix the Disk!!!!라고 적혀있는 것을 볼 수 있다. 문제 파일이 FAT라고 쓰여 있어서 FAT파일 구조를 가진 문제인 것 같아 FAT파일 구조 분석할꺼다. (출처 :https://blog.forensicresearch.kr/13）** FAT..

문제를 다운받았을 땐 아래와 같이 하얀 곰이 그려져 있는 .png 파일을 볼 수 있다.육안상으로는 파악되는 부분이 없으니 HxD를 열어확인해 볼꺼다. Header 시그니처를 살펴보자.-> HXD를 열고 헤더 부분을 보았다. 아무 이상이 없다. Footer 시그니처 값도 봐보자. -> 푸터 값을 확인해도 이상을 찾을 수가 없었다..PNG 형식을 잘 갖추었다. 시그니처를 통해 얻을 수 있는 문제는 보이지 않았다. * PNG 시그니처 값(Hexa)Header 시그니처Footer 시그니처89 50 4E 47 0D 0A 1A 0A49 45 4E 44 AE 42 60 82출처 :  f" data-og-host="sh1r0hacker.tistory.com" data-og-source-url="https://sh1r0..