상상이님의 블로그

사용 Tools: FTK_Imager, DB browser for SQL lite, https://www.epochconverter.com/webkit WebKit/Chrome Timestamp ConverterConvert WebKit/Chrome timestamps to human-readable date & Unix time This timestamp format is used in web browsers such as Apple Safari (WebKit), Google Chrome and Opera (Chromium/Blink). It's a 64-bit value for microseconds since Jan 1, 1601 00:00 UTC. Onewww.epochconverter.com  ..

우리가 찾아야하는건 부팅 시간!! 이벤트 ID는4608번 "Windows is starting up" (LSA 초기화, 부팅 시작) 이다  파일 경로주요 이벤트 ID설명C:\Windows\System32\winevt\Logs\System.evtx6005, 6006, 6008, 6013시스템 부팅 및 종료C:\Windows\System32\winevt\Logs\Security.evtx4624, 4634, 4800, 4801로그인 및 로그오프 기록C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Boot.evtx27, 41, 55커널 부팅 정보C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Pe..

해설과 함께 이해하며 풀어보았다https://velog.io/@rlajunwon/Dreamhack-prho [Dreamhack] p_rhomain함수감사하게도 win함수가 존재한다간단하게 idx를 입력받고, 다음 반복문때 buf\[idx]의 값을 넣어주는 프로그램이다bof는 안 터질것 같았고, 다른 취약점이 존재할 것 같았다보면 바로 보인다Ouvelog.io 소스코드 분석더보기1. 프로그램 분석이 프로그램은 반복문을 돌면서 숫자를 입력받고, 이를 배열(buf)에 저장하는 구조입니다.idx (인덱스)를 입력받고,buf[idx] = 사용자가 입력한 값;다시 idx = buf[idx];를 통해 idx가 업데이트됩니다.이 과정을 무한히 반복하는 코드예요.2. 버퍼 오버플로우 (BOF)는 터지지 않음버퍼 오버플로..

사용한 ToolsFTK_ImagerRega문제 풀이 순서 1. 디스크 이미지 파일 다운2. 디스크 이미지 FTK_Imager로 열기3. FTK_Imager에서 아래 파일들 추출    3-1 NT_USER.DAT    3-2 SECURITY    3-3 SYSTEM    3-4 SOFTWARE    3-5 SAM(드림핵 강의에서는 로그파일들도 추출하던데, 나중에 테스트해보니 로그 파일들이 없어도 찾아졌다)4. REGA에서 각 파일들을 취합해 분석한다5. USB가 연결되었던 기록을 찾자! FTK_Imager랑 Rega에 대해서더보기FTKIAMGER와 REGA 설명1. FTK Imager🔍 Forensic Toolkit (FTK) ImagerFTK Imager는 AccessData에서 개발한 디지털 포렌식 ..

네 614400입니다~

ag.js 소스코드module.exports = [ { "id": 1, "name": "FLAG", "description": "DH{fake_flag}" }, { "id": 2, "name": "DRAG", "description": "To pull something along forcefully, often on the ground or another surface, causing friction or resistance. It also refers to the delay in performance or response time." }, { "id": 3, "name": "S..

FTK Imager는 AccessData에서 개발한 디지털 포렌식 도구로, 컴퓨터 시스템이나 디지털 저장 장치의 데이터를 조사하고 분석하기 위해 사용됩니다. 주로 법의학적 증거 수집, 데이터 복구, 파일 시스템 분석 등에 활용되며, 특히 데이터의 무결성을 보장하면서 데이터를 이미징(복제)하거나 미리 보기하는 데 강점을 가집니다.주요 기능디스크 이미징:저장 장치(하드 디스크, SSD, USB 등)의 포렌식 이미징을 수행합니다.디스크 전체 또는 특정 영역을 복제하여 원본 데이터를 변경하지 않고 복제본을 생성.생성된 이미지는 E01, RAW(dd), SMART 등 다양한 형식으로 저장할 수 있습니다.파일 시스템 미리 보기:파일 시스템의 구조와 데이터를 분석하고 미리 보기합니다.삭제된 파일, 숨겨진 파일, 시스..

소스코다 host: $host path: $path query: $query"; if(preg_match("/flag.php/i", $path)){ echo "NO...."; } else echo "Cannot access flag.php: $path "; ?>   이 PHP와 HTML 코드의 구조를 분석해 보겠습니다.1. 코드의 목적사용자가 요청한 URL을 분석하여 호스트(host), 경로(path), **쿼리(query)**를 추출하고 화면에 출력합니다.만약 경로(path)가 특정 문자열(flag.php)과 일치한다면, 특정 메시지를 출력하는 조건을 포함합니다.HTML과 간단한 CSS 스타일링으로 출력 형식을 정리했습니다.2. 주요 구성 요소..

key == $key) { $ret = ["code" => true, "flag" => $FLAG]; } else { $ret = ["code" => false]; } die(json_encode($ret)); } function gen_key(){ $key = uniqid("welcome to wargame.kr!_", true); $key = sha1($key); return $key; }?> view-source   소스코드를 확인해 본 결과 사용자로부터 json이라는 이름의 파라미터(Parameter)를 전달 받아서, 그 json 데이..

소스코드나 보러가자  #!/usr/bin/env python3from flask import Flask, request, render_templateapp = Flask(__name__)try: FLAG = open("./flag.txt", "r").read() # flag is here!except: FLAG = "[**FLAG**]"@app.route('/', methods=['GET', 'POST'])def index(): menu_str = '' org = FLAG[10:29] org = int(org) st = ['' for i in range(16)] for i in range (0, 16): res = (org >> (4 * i))..