보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/675) G-1 문제는 클립보드 데이터가 최초로 유출된 시각과 유출에 사용된 도구의 당시 PID를 찾는것이 목표이다. 이전에 풀이했던 E-3 문제를 보면 (https://hackingstudypad.tistory.com/665) 복원한 바이너리 파일에서 http://192.168.35.85/logout.php 로 접속하는것을 볼 수 있다. 해당 위치로의 접속 흔적은 바탕화면\Log 폴더 안에 있는 4.pcapng 파일에서 찾을 수 있다. 이렇게 logout string을 검색하면 금방 찾는다. 해당 패킷을 우클릭 - Follow - HTTP Strea..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/673) F-4 문제는 공격자가 피해 호스트에서 유출한 정보에서 플래그를 획득하는 것이 목표이다. 처음엔 피해 호스트에 주기적으로 뜨는 CMD 창에서 힌트가 있다고 생각해 여기 있는 파일들을 위주로 살펴봤는데 아니었다. 한참 헤매다가 C:\Users\Kang\AppData\Roaming\Microsoft\Windows\Recent 경로를 살펴보니 flag.txt 파일이 있는게 보였다. 눌렀더니 .lnk 파일인듯 바로가기가 올바르지 않다고 한다. 그래서 우클릭 - 속성에 들어가 봣는데 C:\Users\Kang\Downloads\flag.txt 경로에 원..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/671) F-3 문제는 공격자가 HTTP 프로토콜을 이용하여 데이터를 유출할 때 공격자 측 URL과, 이때 피해 호스트 측 압축파일의 파일명을 찾는것이 목표이다. 사실 이건... 별도로 풀이하지 않아도 지난 F-2 문제 풀이에서 확인할 수 있다. 바로 이 sysmon 로그에서 인코딩된 powershell 스크립트를 디코딩하면 이런 결과물을 얻을 수 있었는데 공격자가 유출하는 url은 http://192.168.35.85:8000/upload 이고 피해 호스트 측의 압축파일명은 winlog.tar 가 된다.. 이렇게 끝나면 허무하기 때문에 다른 풀이도 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/667) F-1 문제는 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서 플래그를 획득하는 것이 목표이다. 이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다. E-3 에서 gametime.dll 이 실행되는 것을 확인했었다. 바탕화면 Log 폴더에 제공되어 있는 1.pcapng 파일을 wireshark 로 열어보면 중간쯤에서 http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 MZ 헤더로 시작하는 파일을 다운로드 받은것..

[2022 화이트햇 콘테 2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/665) E-3 문제는 피해 호스트에 설치된 악성코드 중 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드가 최초로 실행된 시각과, 당시 PID를 찾는것이 목표이다. 윈도우 이미지를 켜보면 위와 같이 cmd 창이 갑자기 켜지면서 이미지 내에 있는 파일 목록이 어딘가로 유출되고있는 듯한 장면이 연출된다. SysinternalsSuite의 Autoruns 도구를 이용해서 자동실행 관련 설정들을 확인해 보면 시스템 부팅과 관련한 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/663) E-2 문제는 공격자가 피해 호스트의 스크린샷, 클립보드 등 자격증명을 지속적으로 유출하기 위해 설치한 악성코드를 분석해 플래그를 획득하는 것이 목표이다. 지난 문제에서 디코딩한 파워쉘 스크립트를 보면 http://192.168.35.85/index.do 쪽으로 접근하는 흔적을 찾을 수 있다. 해당 정보를 바탕으로 바탕화면\Log 폴더의 3.pcapng 파일을 Wireshark로 분석해보면 136845 번째 패킷에서 똑같은 목적지의 패킷을 찾을 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 Res..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/661) E-1 문제는 공격자가 기존 프로그램의 구성 요소를 삭제하고 악성코드를 설치한 시각과 공격자가 삭제한 프로그램 경로를 찾는것이 목표이다. 이번 문제는 Sysmon 로그를 통해 초기분석을 했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 지난 D-3 문제에서 Gnuwnkfi.exe 를 실행시킨 파워쉘 로그가 찍힌 직후의 로그를 보면 또다시 한번 powershell 이 실행되고, ps1 파일이 생성되는것을 sysmon 로그를 통..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/659) D-3 문제는 공격자가 피해 호스트에 접근할 때 생성한 바이너리의 이름과 프로세스가 최초로 실행된 시각을 찾는 것이 목표이다. 이번 문제는 Sysmon 로그를 활용했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 이전 문제에서 powershell 을 실행한 흔적을 봤었기에 파워쉘에 대한 로그를 확인했다. 파워쉘 로그를 보니 파워쉘이 실행된 후 Gnuwnkfi.exe 프로세스가 생성되고, 그 뒤에 Temp 경로에 수상한 ps1..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/657) D-2 문제는 공격자가 피해 호스트에 접근할 때 사용한 도구와 프로토콜을 찾는 것이 목표이다. 지난 문제에서 Sysmon log 의 net share 실행 흔적을 기반으로 바탕화면의 Log 폴더 내 2.pcapng 파일을 분석해 192.168.35.199 IP 주소에서 공격자가 SMB 프로토콜을 이용해 원격 접속했다는 것을 알아냈다. 따라서 문제에서 요구하는 프로토콜은 SMB 이다. 이제 도구를 찾아야 하는데 Sysinternals Suite 도구 중 SMB 와 관련된 도구는 PSEXEC.EXE 이다. 따라서 이번 문제의 플래그는 FLAG{P..