welcome
umm… 그냥 너 netcat 쓸 줄 아니 정도를 물어본 거 같다.
fd
안되겠지만 flag 함 열어보았다
LETMEWIN
과 strcmp
argv로 받은 인자 -0x1234해서 읽기 -> 여기에 LETMEWIN이 위치해야 하는데…
read라는 함수는 다음과 같다
#include <unistd.h>
ssize_t read(int fd, void *buf, size_t nbytes);
버퍼나 마지막 max bytes에 대해서는 좀 들어봤을 테지만
fd란?(도 사실 좀 들어봤다)
운영체제가 특정 파일에 할당하는 정수값이다(약간 flag 개념으로 이해하면 될 거 같다)
실행중인 프로세스에서 파일을 다룰 때 숫자값을 차례대로 배부 받는다
깊게 공부하진 않았지만 아마 이 fd에서 또 해당 파일로 가는 포인터가 있지 않을까…(운체니까 링크인가 몰겟다…)
이때 표준 입출력 fd가 존재하는데…
표준 입력 0, 표준 출력 1, 표준 에러 2… 우린 입력을 해주고 싶으니까 0으로 맞춰야 한다
처음에 dec를 까먹고 1234 넣었다가 4660으로 수정… LETMEWIN 입력해주면 flag가 뜬다
[6주차] 리버싱 문제 제작 과제
Download 6k.exe (Size: 0.02MB)
[6주차] TryHackMe : Disk Analysis & Autopsy
파일을 열면 metadata에 md5 해시가 있다.
operating system information에 가면 desktop name이 있다.
그 아래 Operating system user account를 가면 users가 있다.
data accessed 순으로 정렬하면 맨 아래 sivapriya이다.
Look@Lan이라는 프로그램에서 network를 모니터링 한다. 이부분에 LANIP와 LANNIC(MAC)주소가 있다.
programs 목록을 열람하여 Look@LAN 확인.
shreya/AppData/Roaming/Microsoft/Windows/Powershell을 열람하여 readline에서 history를 확인한다.
mimikatz zip파일을 더블클릭 하면 다음과 같다. kiwi_passwords.yar에 author name이 있다.
recent documents를 가면 zerologon Ink 파일이 답이라고 한다. 이게 왜 domaincontroller를 exploit 할 수 있는지는 모르겠다…
[6주차] FAT.001 문제 풀이
디스크를 fix하라고 한다.
일단 Fix the Disk!!!!는 지웠다.
FAT 파일 복구를 검색해서 일단 시그니처인 55 AA를 검색했다.
파티션 4개까지 존재 가능하다는데 3번부터 위치할 수도 있는 건가…? MBR 위치 자체를 잘 모르겠다.
일단 파티션에서 짚어야 할 부분은 여기다. 앞 4바이트는 시작 주소, 뒤 4바이트는 끝 주소를 의미한다.
앞 4바이트를 읽어서(리틀엔디언) 계산한 섹터가 BR 위치라는데…
…존재하는 섹터보다 큰 수가 나왔다.
일단 55 AA 보이는 곳중에서 가장 내용이 많고 그럴싸한(?) 곳이다. MSDOS5인 것을 보아 구조가 맞는 거 같은데…
라업 봤다. 위 섹터를 0 영역에 덮어씌워야 한다. 섹터 0에 부트 레코드가 존재하기 때문이라고 한다.
다시 ftk에서 열어보자 (개인적으로 autopsy보다 ftk가 더 편해서 해당 툴 사용했다…)
잠시 라업 넣어두고 다시 내가 풀었다.
막 둘러보니까 Dreamhack 폴더가 있다.
flag 있는 파일을 찾은 거 같은데 암호가 있다.
GG.PNG가 안열리고 다른 파일보다 swp이라는 파일도 있다.
zip key가 있다.
._flag에는 더미값이 있었다.
FINISH 파일에 존재한다.