보안맨

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-5 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/720) F-1 문제에서는 D-2의 악성코드와 통신하는 서버에 취약점을 찾아 공격하고 플래그를 획득하는 것이 목표이다. D-2 문제의 악성코드는 http://15.165.18.103/gmae 에서 다운받은 dd.exe 인데 무력화환 도구들을 실행시켰을 때 dd.exe 가 대신 실행되도록 하는것이었다. dd.exe 가 실행되면 3.39.253.212 목적지로 어떤 값을 보내는데 그 값이 형태가 YAML 형식이었다. 또한 서버의 응답 헤더를 확인해 봤을때 Python 을 이용해 구동중인 것을 확인했다. 이 부분은 문제푸는데 정신이 없어서 캡쳐를 제대로 하..

SuNiNaTaS 에서 제공하는 열한번째 문제 리버싱으로 분류된 문제이다. 문제에서 주어지는 것은 Project1.exe 파일이다. 실행시켜보면 이렇게 Key 값을 찾으라는 문구와 함께 입력창이 있는 프로그램이 뜬다. 해당 프로그램을 분석하기 위해 올리디버거를 이용해 해당 프로그램을 열어주었다. 우선 가장 먼저 우클릭 - Search for - All referenced text strings 를 눌러서 스트링을 살펴보았다. 그랬더니 Congratulation! , Authkey : 라는 글자가 보였고 그 근처에서 2V, XS, B6, H1, 0F 가 적혀있는것이 보였다. 이게 뭔가 KEY 값일거 같아서 순서대로 붙혀서 넣어봤는데 답이 아닌것 같았다. 일단 2V 와 Authkey 부분에 F2를 눌러서 브..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/716) E-4 문제는 E-2에서 식별한 악성코드가 Injection 하는 악성 DLL을 분석하여 플래그를 획득하는 것이 목표이다. E-2 에서 식별한 악성코드인 FXSSVC.dll 을 IDA로 분석하다 보면 System32 경로에 있는 splsrv64.dll 로 뭔가를 하고있는걸 볼 수 있다. 아마 이 파일이 Injection 대상일거라 생각해서 해당파일을 찾아 역시 IDA를 이용해 분석해보았다. splsrv64.dll 을 분석해보면 어떤 값을 0x18로 xor 하여 szUrlName 에 담고있는것을 확인할 수 있다. xor 하는 대상은 여기에 보이..

SuNiNaTaS 에서 제공하는 열번째 문제 리버싱으로 분류된 문제이다. 문제페이지에 들어가면 문제파일을 다운로드 받을 수 있다. 다운로드 받으면 reversing.exe 파일을 볼 수 있다. 실행시켜보면 이런 화면이 나온다. 간단하게 비밀번호 같은거 입력하는 창이 나오는데 잘못된 값을 입력하면 이렇게 Try again! 이 나온다. 처음엔 IDA로 분석을 해보려했는데 Microsoft.NET assembly 파일인것 같아서 다른 도구를 사용해보기로 했다. Releases · dnSpy/dnSpy .NET debugger and assembly editor. Contribute to dnSpy/dnSpy development by creating an account on GitHub. github.com..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/714) E-3문제는 악성코드가 DLL Injection을 수행하는데 이때 Injection의 대상이 되는 정상 프로세스의 이름과 최초로 Attach 한 PPID가 무엇인지 알아내는것이 목표이다. 지난 문제에서 prob_b 이미지 내에 있는 FXSSVC.dll 악성코드를 식별했었다. 해당 악성코드는 파워쉘 코드를 통해 http://15.165.18.103/api 로부터 다운받은 것이었다. IDA 도구를 이용해 FXSSVC.dll 파일을 열어 분석해보면 DLL Injection 대상 프로세스는 explorer.exe 임을 알아낼 수 있다. sysmon ..

SuNiNaTaS 에서 제공하는 아홉번째 문제 리버싱으로 분류된 문제이다. 문제페이지에 들어가면 뭔가를 다운받도록 한다. 해당 파일은 zip 파일로 압축을 풀려면 비밀번호가 필요하다. 비번은 위에 나와있듯이 suninatas 이다. 안에는 Project1.exe 파일이 들어있다. 실행시키면 이렇게 작은 창이 뜬다. 뭔가를 입력하고 Click! 을 눌러봤는데 별다른 반응이 없었다. IDA라는 디스어셈블러를 이용해 해당 파일을 분석해봤다. 함수 목록을 살펴보는데 TForm1_Button1Click 가 보였다. 아마도 실행창에서 보이는 버튼을 눌렀을 때 실행되는 함수일 것이다. 해당 함수에 들어가서 f5를 눌러 수도코드를 살펴본다. 뭔가를 비교한 다음에 참이되면 Congratulation! 이라는 메세지 박스..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/712) E-2 문제는 공격자가 호스트에 침투한 Windows 서비스 중 하나를 조작하여 악성코드를 설치했는데, 해당 악성코드의 해시 값과 다운로드된 URL를 특정하는 것이 목표이다. 이미지를 분석하다 보면 cli_mgr.ps1 파워쉘 스크립트를 찾을 수 있다. 해당 스크립트의 내용은 위와 같은데 http://15.165.18.103/api 로부터 C:\Windows\System32\FXSSVC.dll 파일을 다운로드 받는것을 확인할 수 있다. 실제로 prob_b 이미지에서 해당 경로에 가보면 FXSSVC.dll 이 있는걸 볼 수 있다. 혼자만 수정한..

SuNiNaTaS 에서 제공하는 여덟번째 문제 웹해킹 문제이다. 문제페이지에 접속하면 이런 로그인 창이 나온다. id/pw를 알아내야할 것 같은 느낌이다. 다른 문제들처럼 주석으로 힌트가 있을것 같아 F12를 눌러 개발자도구에서 소스를 확인해봤다. 아이디는 admin 이고, 비밀번호는 0 ~ 9999 중 하나라고 한다. 상당히 친절한 문제이다. 간단하게 Brute Force 공격을 해서 비밀번호를 알아낼 수 있다. 먼저 어떻게 데이터가 전달되는지 확인한다. POST 메소드를 이용해 id 변수에 아이디를, pw 변수에 1111을 넣어서 보낸다. 다음으로 쿠키값을 알아내야 한다. Python requests 를 이용해 문제를 해결할건데, 이 문제 페이지는 로그인을 해야만 접근할 수 있으므로, 내 쿠기값을 쥐..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/710) E-1 문제는 Lateral Movement 시에 호스트 A에서 요청한 명령이 호스트 B에서 실행되었다고 한다. 이때 호스트 B에서 명령을 수행하는 프로세스의 이름을 찾는것이 목표이다. 이번 문제부터는 이전 prob_a 이미지가 아닌 prob_b 이미지로 해결할 수 있었다. 둘 다 똑같은 Windows10 이미지인데 문제 시나오상 a가 먼저 악성코드에 감염이 되고, 그게 수평이동되어서 b도 감염이 된 컨셉이다. 프로세스이름을 찾는 것이니 prob_b 이미지에서 프리패치를 확인해 봤다. 프리패치를 분석할때는 위의 WinPrefetchView 라..

SuNiNaTaS 에서 제공하는 일곱번째 문제 웹해킹 문제이다. 문제페이지에 접속하면 가수 아이유님 사진과 함께 Do U Like girls? 라는 입력창이 보인다. 스크롤을 중간까지 내려보면 YES 라고 적힌 버튼이 있는데 이걸 눌러보면 너무 느리다는 알림창이 뜬다. F12를 눌러 개발자도구에서 소스를 보면 주석으로 더 빨리 하라는 힌트가 적혀있다. 저 버튼을 빠르게 눌러야 하나보다. 자바스크립트를 보면 F5나 탭(9) 또는 컨트롤 키와 함께 누르는 N, R 같은 건 못누르게 되어있다. 보이는것처럼 F5를 누르면 NO!라는 알림메세지가 뜬다. YES 버튼을 누르면 frm 폼이 post 메소드로 submit 되는데 문제를 해결하려면 이걸 빠르게 submit 시켜주면 된다. 개발자 도구의 콘솔 탭에서 fr..