CHIqueen

My computer seems to be running quite slow these days. I probably downloaded a virus or something. Luckily I was able grab some stuff off it before it crashed.Edit: Please submit the md5 hash of the entire, lowercased flag (including tjctf{}) instead of actually submitting the flag. 먼저 imageinfo를 통해 profile을 확인해 줍니다.(솔직히 저는 문제 풀때는 kdbgscan을 주로 사용합니다.) 그 다음 pstree로 프로세스를 확인해 봅니다. 크롬이랑 파이썬이 실행중이 었..

That sure was a wild night at the old tavern.Good thing someone was able to draw the scene for us to remember.But the more I look at the picture, the more it seems that something isn't quite right... -=Created By: matg=- 이 문제는 두가지 방법으로 풀 수 있습니다. https://29a.ch/photo-forensics/#forensic-magnifier에서 확대기로 확대하면 flag가 보이구요 stegsolve에서 돌리다보면 글자가 나옵니다. flag{w0ah_5uch_53cr3t_m355ag3}

======= Difficulty level : Medium ======== A number station in Russia broadcasted a series of encoded messages to one of it's intelligence agency. We have been able to get a piece of that message along with a picture hidden by one of the spy. Decode the transmitted data and be a hero!! Link : https://goo.gl/JQTKXA ========== Authors : cr4ck3t ========== 문제 파일을 보면 index.png와 new.mp3가 있습니다.mp3파일을 ..

======= Difficulty level : Easy ======== A harmful ransomware script encrypted my precious text and hid it somewhere. I was going through some old photos when this incident happened. Luckily I was able to dump the memory as soon as I noticed something suspicious. Can you retrieve my data? Chall Link : https://goo.gl/uKLdkf ========== Authors : stuxn3t, cr4ck3t ========== 메모리 덤프파일이 주워 집니다.우선 이미지 ..

======= Difficulty level : Medium ======== Kevin sent me a file with some hidden message. Help me recover this secret from this bizzare network. ========== Authors : cr4ck3t ========== 먼저 bizz.pcap파일을 열어 줍니다. 패킷을 보다가 크기가 좀? 큰 ICMP패킷을 보았더니 504B0304로 시작하는게 눈에 띄어서 ICMP패킷을 필터링해서 보았습니다. 16번, 449번, 961번 패킷에서 값들을 복사해 다시 만들어 줍니다. 압축을 해재해 주면 inctf{_x0meTime3s_u_h4v3_t0_lOOk_3v3eryWh3r3_cl0s3r_T0_G3T_th3_..

======= Difficulty level : Easy ======== I have a friend named Jake.We were watching a football tournament on one fine chilly morning. Meanwhile Jake's sister Susan did something mischievous which cause Jake to lose some really important data. We could only find this piece of evidence, can you recover it for him? ========== Authors : cr4ck3t, stuxn3t ========== 우선 주어진 파일을 열어 봅시다. 별거 없습니다. binwal..

We received a communication from earth, let's analyse it:What is the carrier frequencyWhat is the name of the attackWhat is the exact url sent by this attack 먼저 문제파일을 audacity로 열어 줍니다.audacity 다운로드 : https://www.audacityteam.org/download/ 우리는 첫번째 문제로 carrier frequency를 알아보기 위해 전체 선택(Ctrl+A)이후 분석->스펙트럼 도식화로 주파수 분석을 해줍니다. 이론적으로 사람이 귀로 들을 수 있는 소리는 16000Hz까지 입니다. 하지만 분석창을 보면 16000Hz이후로 뭔가 잡히는것이 있습니다..

FileZilla는 FTP프로그램이다. %UserProfile%\AppData\Roaming\FileZilla 안에 파일 들이 있다. filezilla.xml과 recentsevers.xml를 주의깊게 보시면 됩니다. filezilla.xml에는 각종 설정 정보와 연결한 탭들의 정보가 들어 있습니다. recentservers.xml에는 최근 접속한 FTP의 정보가 간단하게 들어있습니다.

파워쉘은 따로 사용자가 입력했던 명령어를 기록해 둔다. 경로는 %UserProfile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt 이다. 기록의 예외도 있다. cmd를 통해 실행한 명령어인 경우 기록이 되지 않는다.예를 들어보자 shell을 통해 cmd /c powershell ls란 명령어를 치면 기록이 되지 않는다.

디스코드는 %UserProfile%\AppData\Roaming\discord\Local Storage 안에 "https_discordapp.com_0.localstorage" 파일을 남긴다. 이 파일은 SQLite3파일이며 DB browser for SQLite를 통해 열어 볼 수 있다. "UserFeedSettingsStore", "RunningGameStore", "GameStoreReportedGames", "SelectedChannelStore", "EmojiUsageHistory", "DraftStore", "DispatchManagerStore", "shouldShowChangeLog", "lastChangeLog", "gatewayURL", "LibraryApplicationStore", ..