보안맨

이번엔 주황색(Meduim) 난이도의 네트워크 문제이다. 생각보다 풀이수가 많다. 주어진 네트워크 트래픽에서 뭔가를 찾아보라고 한다. 문제에서 주어지는 것은 ch9.pcap 파일이다. pcap 파일은 wireshark 라는 도구를 이용해 열어볼 수 있다 열어보면 이런 화면이 나오는데 일반적으로 알고있는 TCP 나 UDP 패킷은 아닌것처럼 보였다. Modem 과 Unknown 과의 통신을 보여주는데 Length 가 굉장히 짧은 모습이다. 문제에서 참고하라고 링크 걸어놓은 RFC 5724 문서를 살펴봤다. Nokia, SMS 같은 내용이 적혀있는걸로 보아 문자메세지와 관련된 패킷인가 보다. 대충 이해해보면 하나의 문자를 8bit 가 아닌 7bit 로 보내는 프로토콜인것 같다. 처음엔 각 패킷 맨 뒤에 있는 ..

SSL 패킷 포렌식과 관련된 문제이다. 19th DEFCON CTF qualification 에 나왔던 문제라고 한다. 밑에 google 에 inurl:server.pem 이라고 검색해보라는 힌트도 있다. 문제에서 주어진 ch5.pcap 파일을 열어보면 이런 화면이 나온다. TLSv1 을 사용하는 패킷들이 보인다. TLS 패킷의 자세한 내용을 보려면 우클릭 - Follow - TLS Stream 을 눌러야 하는데 비활성화 되어있는 모습이다. 암호화 통신이기 때문에 Key 가 있어야 내용을 확인할 수 있기 때문이다. 힌트에 나온대로 구글에 inurl:server.pem 이라고 검색해봤다. 맨 위에 defcon 이라고 적힌 링크가 나오는데 이건 들어가보니 다른것 같고, 아래쪽에 있는 Apple Open So..

SIP 프로토콜과 관련한 네트워크 문제 SIP 프로토콜은 Session Initiation Protocol 의 약자로 VoIP 에서 사용하는 신호 프로토콜이다. 문제 Level 을 보면 노란색으로 표시되어 있어서 마냥 쉽지만은 않겠구나 생각했는데 황당할 정도로 쉬운 문제였다.. 이게 문제에서 주어지는 ch4.txt 파일의 내용이다. SIP 프로토콜로 어딘가에 로그인한 로그가 남겨져있는데 첫번재 줄을 보면 REGISTER, PLAIN 뒤에 숫자가 써있는걸 볼 수 있다. 이 부분이 바로 평문으로 통신된 비밀번호이다. 문제는 비밀번호를 찾는것으로 이 값을 그대로 적으면 문제가 풀린다; 원래라면 저기에 아래처럼 MD5 해시값을 넣어서 Crack 해야하는게 올바른 문제일것 같은데 너무 간단해서 정답이 아닌줄 알았..

Root Me 에서 제공하는 네트워크 패킷 포렌식 관련 문제 원래라면 더 어렵게 풀어야 했으나 많은 사람이 풀어서 그런지 의도치않게 쉽게 풀렸다. 문제에서 주어지는 것은 ch23.pcapng 파일이다. 여기서 user password 를 찾아야 한다. pcapng 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 여러 패킷들이 섞여있는데 문제 제목에 나와있는 POP 프로토콜 패킷을 찾아본다. POP 프로토콜은 Post Office Protocol 의 약자로 원격 서버에서 TCP/IP 연결을 통해 이메일을 가져오는데 사용된다. 이렇게 pop 이라고 검색하면 필터링 할 수 있다. 첫번째 패킷을 우클릭한 뒤 Follow - TCP Stream..

정말 오랜만에 업로드 해보는 Root Me문제 JPG 파일과 관련된 스테가노그래피 문제이다. JPG 파일에서 숨겨진 비밀번호를 찾으면 된다. 문제에서 주어지는것인 이 파일이다. 디카프리오가 나오는 사진인데 HxD 로 파일을 열어보면 이렇게 나온다. JPG 파일의 시그니처인 FF D8 FF E0 가 맨 앞에 나오고, 잠시 뒤에 다시한번 시그니처인 FF D8 FF E0 가 나온 뒤 그뒤에 We need to go deeper 라는 문장이 나온다. 저 부분이 썸네일 부분이다. 두번째 FF D8 FF E0 부터 파일의 맨 끝까지 복사한 뒤, 새로만들기에 붙혀넣기 해서 JPG 파일로 저장해주면 썸네일이 추출되면서 그 안에 있는 플래그를 찾을 수 있다. 온라인으로도 풀 수 있다. Forensically 라는 사이트..

Root Me에서 제공하는 크로스 사이트 스크립트 문제 이전에 포스팅 했던 문제들과 비슷한 맥락이다. (https://hackingstudypad.tistory.com/48) (https://hackingstudypad.tistory.com/297) (https://hackingstudypad.tistory.com/334) (https://hackingstudypad.tistory.com/362) 지난 문제들 풀이를 보면 조금 이해하기 쉽다. 문제설명을 읽어보면 이번 문제의 목표 역시 admin 의 session cookie 값을 훔치는 것이다. 문제페이지에 접속하면 이런 화면이 나온다. Name Encoder 라고 적혀있고 Main과 Contact 페이지를 이동할 수 있다. Main 에서는 Enter ..

Root Me에서 제공하는 크로스 사이트 스크립트 문제 이전에 포스팅 했던 문제들과 비슷한 맥락이다. (https://hackingstudypad.tistory.com/48) (https://hackingstudypad.tistory.com/297) (https://hackingstudypad.tistory.com/334) 지난 문제들 풀이를 보면 조금 이해하기 쉽다. 문제설명을 읽어보면 이번 문제의 목표 역시 admin 의 session cookie 값을 훔치는 것이다. 문제페이지에 접속하면 보이는 화면이다. Main 과 Contact 버튼이 있고, 아래는 숫자를 입력할 수 있는 칸이 있다. Choose a number between 0 and 100 이라고 적혀있는데 77이라고 테스트삼아 입력해보고 ..

Root Me 에서 제공하는 PDF 파일 과련 포렌식 문제 문제의 목표는 PDF 파일에서 숨겨진 정보를 찾는 것이다. 문제에서 주어지는 것은 epreuve_BAC_2004.pdf 파일이다. 해당 파일을 열어보면 무슨 연구보고서 같은데 프랑스어라 무슨 내용인지 잘 모르겠다. 그냥 봤을때는 특이한 점은 없다. http://sandsprite.com/blogs/index.php?uid=7&pid=57 RE Corner - PDF Stream Dumper PDF Stream DumperAuthor: David ZimmerDate: 07.21.10 - 7:55pm This is a free tool for the analysis of malicious PDF documents. This tool has been ..

Root Me 에서 제공하는 세번째 XSS 문제 (첫번째 문제 : https://hackingstudypad.tistory.com/48) (두번째 문제 : https://hackingstudypad.tistory.com/297) 지난 문제들 풀이를 보고오면 조금 더 이해하기 쉽다. 이번엔 Stored 가 아니라 Reflected XSS에 관한 문제인데, 둘의 차이는 공격 페이로드가 게시글, 댓글과 같은 형태로 DB에 저장되는지, URL 등을 통해 전달되어 DB에 저장되지 않는지를 보고 구분한다. 문제설명을 읽어보면 문제의 목표는 administrator 의 cookie 값을 훔치는 것이다. admin 은 보안에 굉장히 민감해서 수상한 링크는 클릭하지 않을것이라고 경고하고 있다. 그럼 그냥 클릭하지 않아도..

Root Me에서 제공하는 문서형 악성코드 분석 문제 문제 설명을 읽어보면 Word 파일을 열었는데 그 이후로 항상 들어가는 웹사이트가 들어가지지 않는다고 한다. 이 문제의 플래그는 해당 웹사이트의 도메인 이름을 알아내는 것이다. 문제가 문서형 악성코드 분석에 관련된거라 .doc, .docx 같은 문서파일이 제공될 줄 알았는데 의외로 .dmp 파일이 주어졌다. .dmp 파일은 메모리 덤프 파일이다. 아이콘은 와이어샤크 아이콘이지만 와이어샤크로 열려고 하면 안열린다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatilit..