Security/CTF

100 - DNSTunnelDNS query날릴 때 url 앞에 data를 붙여 전송하는 방식으로 조금 씩 데이터를 전송하는 듯.20byte인걸로 봐서 sha1 인 것 같다. decode해봐야... 안된다.마지막만 길이가 다른 것도 이상하고... 뭘까? 아 생각해보니 hash는 아닌 것 같은게 수신 측에서 데이터를 받아 해독해야하는데 hash를 쓸리가 없다.분명 encryption한걸거고, encryption한걸 잘라서 보냈거나, 조금 씩 encryption해서 보냈을 것 같은데... 후자?가 맞지 않을까? DES를 비롯해서 몇몇개 알고리즘에 Key를 gzpgs.trendmicro.co.jp로도 해보고 gzpgs로도 해봤는데 안된다. gzpgs는 ceasar cipher 해독하면 tmctf가 나와서 이것..

100점 짜리라고 꼭 쉬우리라는 법은 없다. 오히려 200점이 더 쉬운듯. 안풀리면 그냥 넘어가고 끝날 때 쯤 주어지는 힌트를 노려야 한다. 100Forensic_Encyption 까지는 얻었고 MZ string이 있길래 exe인가 싶어 확장자 변경하고 실행해봤더니 검은창 뜨다가 그냥 꺼진다. PEiD에 올려도 안나오고, Ollydbg에 올라가지도 않는 걸로 봐서 실행 파일은 아닌 것 같다.이대로 파일 자체를 decryption해야 하는걸까? 파일의 맨 끝에 file_3PK / file_1PK / file_2PK라는 stirng이 있는데 이걸로 보아하니 압축파일 형식인 것 같다. 파일 자체를 encryption 했으면 맨 끝에 저런 string이 없겠지. 그니까 자체를 decryption하는건 아니다....

문자열 check 루틴이 어딘지는 알겠는데,어디 저장되는지 찾아야함. 204 200 4 이렇게 ebx+8이 가리키는 곳에 더하는데이것들은 훼이크고 **(ebx+8)-4하면 문자열 있는 193A84나옴.-4나오는 시점이 진짜임. 거서부터 문자열처리를 시작한다. 카운트 값이 저장되는 곳은 null check2 후에ebx+64 -> **(ebx+8) -> **(ebx+8)+200 // ecx를 사용.후에 eax랑 ebx+64에 이 카운트 값이 들어가고나중에 ebx+64랑 ebx+68이랑 ADD해서, 처리해야 하는 문자 1개 얻음. 조건분기 2에서 *(ebx)과 *(ebx+64)를 비교한다. 둘 다 **은 문자열인데, *값은 다르다.뭐 중요한건 아닌거같다. 훼이크인듯 조건분기 3이 중요. 여기서 문자열의 개수가..

hwp 파일이 삽입된 pct파일(mac 이미지 확장자)을 읽을 때, imsReadChar 함수를 사용하게 되는데, 이 때 size검사를 하지 않아 BOF 취약점이 존재한다. isgdi32.dll 로드 -> impct9.flt ( parser ) 로드 -> isgdi32.dll의 imsReadChar함수 호출 하는 식으로 동작한다. 1차 BOF는 정상적인 hwp.exe module에서 imsReadChar를 호출하는 과정에서 발생하는데, 이 때 1Byte를 size로 읽어와서 전달하기 때문에 256Byte 이상 쓸 수 없다. 그래서 1차, 2차로 나눠서 code를 삽입했다.injection된 code의 동작은 이렇다.일단 RTL해서 VirtualAllocEx를 호출한 후, RETN하며 injection c..