Wargame/KH Wargame
![[KH Wargame] Network02 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbCih4L%2FbtqDEGp8Co9%2FXnwh8oyVHW2OdZOFkkvVbK%2Fimg.png)
[KH Wargame] Network02 풀이
문제 종류 - Network 사용한 툴 - Wireshark Flag, Hint, 정답 형식 flag = ? hint: 취약한 파일 전송 정답 형식: flag의 해쉬 값 풀이 .pcap 파일이 하나 주어진다. 와이어샤크로 열어보자. 대표적인 취약한 프로토콜은 telnet, ftp가 있다. 먼저 와이어샤크 필터에 다음 식을 입력한다. ftp flag란 파일이 있으니, 필터에 다음 식을 입력해보자. frame contains flag (RETR flag) packet을 더블 클릭해서 들어간다. flag: md5(flag)
![[KH Wargame] Network01 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FboK7gt%2FbtqDEGczqzo%2Fvedya3q5DTSa1kdjQmgh31%2Fimg.png)
[KH Wargame] Network01 풀이
문제 종류 - Network 사용한 툴 - Wireshark Flag, Hint, 정답 형식 Flag = telnet id/telnet password Hint = X 정답 형식: flag의 해쉬 값 풀이 .pcap 파일이 하나 주어진다. 와이어샤크로 열어보자. 와이어샤크 필터에 다음 식을 입력한다. telnet telet id = ??? telet pw = !!! flag = md5(???/!!!)
![[KH Wargame] - Forensic05 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcPxE08%2FbtqBOssWjMS%2F675Wl8Sn4xpUTNE8RkaBu0%2Fimg.png)
[KH Wargame] - Forensic05 풀이
Forensic05 hint: 없음 먼저 HxD로 .vmdk 파일을 열어봅시다. 일단 MBR의 시작 섹터는 384번 입니다. 384번 섹터로 이동해 보겠습니다. 000301BE번이 0x00이라고 나와있습니다. 0x00 -> 0x80으로 바꾸고 부팅을 시도해봤습니다. 0x00 ( 부팅이 불가능한 파티션 ), 0x80 ( 부팅이 가능한 파티션 ) 검은 화면에서 부팅이 안되는걸 보니까 가상 머신을 부팅시키는 문제는 아닌가 봅니다. HxD로 .vmdk 파일을 열어 다음과 같이 문자열을 검색해봤습니다. 'flag' 50,224번 섹터에서 flag.png라는 문자열이 검색됐습니다. 위에 빨간 박스로 표시된 곳을 보면 0x50 0x4B 0x03 0x04로 .zip파일 헤더 시그니처가 나타나 있습니다. 0x50 0x4..
![[KH Wargame] - Forensic04 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbedTmn%2FbtqBLHKDvN9%2FeodBtdVgQdo0SfkobgJce1%2Fimg.png)
[KH Wargame] - Forensic04 풀이
Forensic04 hint: Booting the virtual machine. 먼저 HxD로 .vmdk 파일을 분석해봅시다. 0x80 0x0A이므로 2688번 섹터에 MBR이 위치해 있음을 알 수 있습니다. FixIt이라는 문자열로 MBR이 수정되어 있습니다. 혹시 모르니 FixIt이라는 문자열을 검색해서 또 따른 수정된 파티션이 있는지 확인 해보겠습니다. -> 확인해 본 결과 다른 파티션은 발견되지 않았습니다. 아마도 MBR만 복구하면 해결될 문제로 보입니다. MBR을 정상적인 Windows_XP_Professional MBR로 교체해주면 풀려보이네요. Forensic02에서 썼던 MBR구조를 그대로 복사해 수정된 MBR 부분에 그대로 붙여넣어줍니다. 이제 성공적으로 부팅이 되고 다음과 같이 Fla..
![[KH Wargame] - Forensic03 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FlLAG8%2FbtqBJftDaHq%2FtqVpr4e7xof7fEe8c72Aj0%2Fimg.png)
[KH Wargame] - Forensic03 풀이
Forensic03 hint: Find flag file. (user account: guest/guest) 전 포스팅을 보고 .vmdk 파일을 이용해 가상 머신을 부팅해봅시다. 부팅 후 id:guest pw:guest로 로그인을 하고 아무 명령어나 입력해봅시다. 전 ls를 입력했습니다. ?? 명령어가 제대로 작동하지 않습니다. 아마도 PATH 환경변수가 손상되어 보입니다. echo $PATH 명령어로 확인해봅시다. hahaha:/home/guest/bin을 export PATH=/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/home/guest/bin으로 수정해줍시다. 이제 명령어는 잘 동작하네요. flag 파일을 찾으라 했으니 다음 명령어로 flag 파일을 찾아보겠..
![[KH Wargame] - Forensic02 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FYPB96%2FbtqBHyzMqCO%2FX8KbsSxrUgMKZ21g44BOk0%2Fimg.png)
[KH Wargame] - Forensic02 풀이
Forensic02hint: Booting the virtual machine.먼저 다운로드한 .7z파일 압축을 해제해줍시다.압축을 풀면 .vmdk파일이 나옵니다. Forensic03, Forensic04문제를 풀기 위해서는 .vmdk파일을이용해 가상머신을 부팅하는 방법을 알아야하니 잘 숙지해 두시길 바랍니다. VMware을 실행해 다음과 같이 실행합니다. 이렇게 해주면 .iso파일이 들어가지 않은 빈껍데기 가상 머신이 만들어지게 됩니다.이렇게 만든 가상 머신을 실행시켜 줍니다. 다음과 같이 나타나는게 정상입니다.이제 해당 머신을 멈추고 가상 머신의 Default 경로인C:\Users\유저이름\Documents\Virtual Machines\Forensic02로 이동해줍니다. 원래 있던 .vmdk파일을 ..
![[KH Wargame] - Forensic01 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FrkTU0%2FbtqBGYFsMqO%2FTPY8ogiYVsbzpIiWxmedZ1%2Fimg.png)
[KH Wargame] - Forensic01 풀이
Forensic01 hint: This is pcap file. flag is in the img. 우선 다운받은 파일 확장자를 .pcapng로 바꾸고 열어봅시다. ?? 아마도 파일 헤더가 손상된듯 합니다. HxD로 분석해봅시다. 역시 0x00 ~ 0x03 Offset이 ????로 손상되어 있습니다. 원래 pcapng 헤더인 0xD4 0xC3 0xB2 0xA1로 바꾸고 다시 파일을 열어줍니다. File - Export Objects - HTTP로 이동하면 flag.jpg라는 파일이 있음을 확인할 수 있습니다. 이 파일을 다운받아 열어봅시다. Flag: md5(flag)