촉촉한초코칩

분석문제 파일은 elf 파일이 주어진다. gdb로 해당 파일을 열어보았다. strncmp에서 두 문자열을 비교하고 다르면 193으로 이동한다. 맞으면 아래 명령어를 실행하여 system을 통해 flag가 출력되는 것 같다. strncmp가 실행되기 전에 break를 걸어서 비교하는 문자열을 확인해야 할 것 같다. 이 방법은 아닌 것 같다. (매번 값이 달라짐) strncmp 취약점에 대해 검색해보았다. str1, str2가 있다고 가정했을 때str1 str1 == str2 → 0 str1 > str2  → 양수이런 값이 나온다. 그리고 strncmp가 나오기 전에 8을 edx에 넣는 것으로 보아, 글자수를 비교하는 값은 8개인 것 같다. 그리고 rsi에는 내가 입력한 값, rax에는 비밀번호가 들어있는 ..

보호되어 있는 글입니다.

문제 풀이 분석#!/usr/bin/env python3hex_list = [(hex(i)[2:].zfill(2).upper()) for i in range(256)]with open('flag.png', 'rb') as f: plain_s = f.read()plain_list = [hex(i)[2:].zfill(2).upper() for i in plain_s]enc_list = list(range(len(plain_list)))for i in range(len(plain_list)): hex_b = plain_list[i] index = hex_list.index(hex_b) enc_list[i] = hex_list[(index + 128) % len(hex_list)]enc_li..

문제 풀이Roman emperor's cipher에 대해 검색하면 카이사르 암호가 나온다.  카이사르 암호https://jo-gunhee.github.io/website1/dcode/dcodewebsite.html단어가 나오는 경우가 있다.

HxD로 봤을 때 특이한 건 발견하지 못했다.  https://stylesuxx.github.io/steganography/ Steganography OnlineEncode message To encode a message into an image, choose the image you want to use, enter your text and hit the Encode button. Save the last image, it will contain your hidden message. Remember, the more text you want to hide, the larger the image has to bstylesuxx.github.io위 페이지 이용해서 Decode 시도하면 flag가 나온다.

ModiLoader (DBatLoader) 해당 악성코드는 ModiLoade (DBatLoader)라고 불리며, 발주서(PO)로 유포되고 있다. 과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader형 악성코드라는 것이다. 바이너리 구조 : CAB 헤더 ('MSCF') + Command line + PE (exe)확장자 : *.cmd더보기CAB 압축 헤더 포맷 Windows 환경에서 파일이나 데이터의 압축과 배포를 위해 사용하는 포맷 압축된 내용물에 대한 목차와 같은 역할을 한다. (해외에서는 'Threat Actor Turns a CAB File Into the Loader to Deployt ModiLoader'라..