문제 페이지를 보면 2진수로 보이는 0과 1들이 많이 보인다. 2진수를 텍스트로 바꾸는 작업을 해야하는데 나는 변환 사이트를 사용했다. http://www.unit-conversion.info/texttools/convert-text-to-binary/ 변환 결과 NVCTFDV KF JLEZERKRJ REU KFURP ZJ R XFFU URP REU RLKYBVP ZJ GCRZUTKWZJMVIPYRIU 라는 텍스트가 출력되었으나 무슨말인지 해석하기가 어려웠다. NVCTFDV KF JLEZERKRJ REU KFURP ZJ R XFFU URP REU RLKYBVP ZJ CRZUTKWZJMVIPYRIU 해석 방법을 찾던 중 카이사르 암호화에 대해 알게 되었다. 카이사르 암호화 : 암호화하고자 하는 내용을 알파..
문제 페이지를 보면 많은 숫자들이 나오는데, 보자마자 Ascii 코드가 생각이 났다. 하나하나 코드표를 보다가 너무 귀찮아서 코드를 작성했다. 코드를 실행한 결과는 아래와 같다. VG9kYXkgaXMgYSBnb29kIGRheS4gVGhlIEF1dGhLZXkgaXMgVmVyeVZlcnlUb25nVG9uZ0d1cmkh 값이 출력되었다. VG9kYXkgaXMgYSBnb29kIGRheS4gVGhlIEF1dGhLZXkgaXMgVmVyeVZlcnlUb25nVG9uZ0d1cmkh 를 일단 인증페이지에 입력해보았더니 문제가 풀리지 않았다. 생각하던 중 써니나타스 Tools 페이지에 인코딩/디코딩 할 수 있는 공간이 있던게 생각나서 디코딩을 진행해보았다. Base64 디코딩을 통해서 인증키를 획득했다. AuthKey :..
문제 페이지를 보면 QR 코드 이미지가 나오는데, 이 코드가 손상되었다고 고치라고 나온다. 우선 이미지를 다운받았다. QR 코드를 보면 모서리의 정사각형 3개에만 빨간색으로 낙서가 되어있는데, 이를 그림판이나 포토샵을 통해 그려주었다. 복구한 QR 코드를 찍었더니 인증키가 나왔다. AuthKey : YouAreQRCodeMaster~! 인증 페이지로 가서 YouAreQRCodeMaster~! 를 입력하면 문제가 풀렸다는 알림창이 뜬다.
문제 메인페이지를 가면 당신은 SuNiNaTaS.com의 회원 비밀번호를 찾을 수 있냐는 문구와 다운로드 링크가 보인다. Download 링크를 누르면 packet_dumo.zip 파일이 다운받아진다. 압축을 풀고 보면 pcap 확장자의 패킷 덤프 파일임을 알 수 있다. 해당 파일을 와이어샤크를 사용하여 열었다. 다른 프로토콜은 필요없고, HTTP 프로토콜의 데이터 패킷만 필요하므로 필터링을 한다. 맨 위의 GET방식 패킷을 보면 211.233.89.203은 suninatas.com의 주소임을 알 수 있다. 써니나타스 페이지와 패킷을 주고받는 것만 필터링하기 위해 다음과 같이 ip 주소도 필터링했다. (http) && (ip.addr == 211.233.89.203) 내리다보면 로그인을 위한 POST 패..
문제 메인페이지를 가면 음악을 좋아하냐며 힌트는 파일 안에 있다고 나온다. Play the Music 링크를 클릭하면 아래 플레이어와 함께 노래가 시작된다. 오른쪽의 점 3개를 눌러보면 파일을 다운받을 수 있다. 다운받은 음악파일의 속성을 확인했더니 지휘자 부분이 이상했다. GoodJobMetaTagSearch 라고 적혀있어서 일단 인증페이지에 입력해보았더니 문제가 풀렸다.
메인페이지에는 검은 화면에 KEY Finding이라는 문자열만 적혀있다. 소스코드를 확인해보니 프로그래머의 잘못된 소스 백업 습관이라고 적혀있다. 문제 메인화면에서 무언가를 시도해볼만한 곳은 URI 부분밖에 보이지 않는다. web13.asp 에서 확장자를 zip으로 바꾸었더니 web13.zip 파일이 다운받아졌다. 압축파일에는 암호가 걸려있고, 내부 파일을 보면 압축 비번은 4자리 정수라고 적혀있다. 패스워드 크랙을 시도하기 위해 ARCHPR 프로그램을 사용했다. 압축파일의 패스워드는 7642이다. 알아낸 패스워드로 압축을 풀었다. 압축 파일을 보면 사진 4장과 txt파일 1개가 존재한다. txt 파일의 내용이 있나 확인했더니 4개의 이미지를 합해서 key를 구하라고 적혀있다. 4개의 사진을 HxD로 옮..
파일을 다운받으면 이번에는 압축파일 해제시 패스워드가 필요없다. 해당 Project1.exe 파일을 x32dbg에서 분석할 수 있다. 프로그램을 실행하면 다음과 같은 창을 볼 수 있다. 가장 먼저 문자열을 확인하였고, 분석해볼만한 문자열을 발견했다. 문자열이 일부 깨져보여서 BinText를 사용해 한번 더 확인했다. Authkey : 이후에 나오는 문자열들을 입력 해 보았다. 00000004F8B8 0000004504B8 0 2abbe4b6 00000004F8CC 0000004504CC 0 44536ca0 00000004F8E0 0000004504E0 0 81aae922 00000004F8F4 0000004504F4 0 e32fa0de 2abbe4b644536ca081aae922e32fa0de 2abbe..
파일을 다운받으면 이번에는 압축파일 해제시 패스워드가 필요없다. 해당 reversing.exe 파일을 x64dbg에 올려두었더니 아래와 같은 화면이 보이며, 실행되었다. 아무 값이나 넣어보고 OK 버튼을 누르면 아래와 같은 창이 뜬다. 실행된 프로그램 화면에서 M@de by 2the TOP 의 문자열이 보이는 것을 보고 그 부분 근처를 확인하기로 했다. 디버거로 문자열을 확인했을때 너무 방대하고, 보기가 불편해서 BinText 프로그램을 사용하여 확인했다. Authkey : Did U use the Peid? 라는 문자열이 보여서 일단 인증 페이지로 가서 입력해보았다. 리버싱 시 사용하는 프로그램인 PeID 프로그램을 썻냐고 물어보는 의미인데, PeID는 패킹된 방식을 확인할 수 있는 프로그램이다. 문제..
파일을 다운받으면 패스워드가 걸려있는 압축파일을 볼 수 있다. 압축파일의 패스워드는 문제 화면에 보이는 suninatas를 입력했더니 풀렸다. 안에는 실행 프로그램 하나가 존재한다. 설치 직후에는 윈도우 내 디펜더가 악성파일로 감지해서 격리시켜버리니 허용을 해주어야 한다… 해당 프로그램을 디버거에서 열어주고 문자열이 존재하는지 우선 확인했다. 아래와 같은 문자열들을 발견할 수 있었다. 해당 문자열이 있는 근처에서 분석하기 위해 우클릭으로 디스어셈블리어에서 따라가기 기능을 사용했다. SuNiNaTaS, Congratulation! 문구가 오는 부분을 확인하였다. 두 문장쪽의 명령문을 보면 45039C, 4503A8 주소가 적혀있어서 해당 위치로 가보았다. 45039C가 바로 적혀있지는 않기때문에 45038..
