보안맨

[B-3] 문제에서 password 파일을 생성하는 악성 코드를 분석하여 플래그를 획득하라 플래그 형식은 FLAG{...} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/697) 정신을 어디 뒀었는지 이번 문제화면도 캡쳐를 못했다.. B-4 문제는 B-3 문제에서 password 파일을 생성하는 악성 코드를 분석해서 플래그를 획득하는 것이 목표이다. B-3 에서 찾은 파워쉘 코드이다. 이걸 보고 mimikatz.exe 가 password 파일을 생성하는거라고 생각해서 분석을 해봤는데 별다른 소득이 없었다. 그래서 다시 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해봤는데 목적지 주..

Root Me 에서 제공하는 간단한 시스템 해킹 문제 이번 문제는 Bash 쉡 스크립트에서 unquoted expression injection 을 하는 문제이다. 아래쪽에 있는 WebSSH 버튼을 눌러 접속할 수 있다. 들어가서 ls -al 해보면 ch16.sh 스크립트가 있고, wrapper 파일이 있다. wrapper 를 실행시키면 ch16.sh 가 실행된다. ch16.sh 파일의 내용은 문제 설명에서 나왔던 스크립트와 동일하다. .passwd 파일의 내용을 가져와서 PASS 에 저장하고, 사용자의 입력값은 ${1} 에 담아서 $PASS 와 ${1} 이 같은지 비교하는 것이다. 이제 ${1} 부분에 인젝션을 하면 된다. 하는 방법은 아주 간단하다. "0 -o " 으로 입력하면 된다. 이렇게 입력하면..

Root Me 에서 제공하는 간단한 시스템 해킹 문제 이번 문제는 powershell 에서 command injection 을 하는 문제이다. 문제 난이도를 보면 알겠지만 아주 쉽게 해결이 가능하다. 비교적 최근에 나와서 풀이수가 적은듯 하다. 아래쪽에 있는 WebSSH 버튼을 눌러 접속할 수 있다. 접속하면 갑자기 Table to dump: 라고 뜨면서 사용자 입력을 받는다. 아무렇게나 입력해 봤는데 뭔가 암호화된 듯한 password를 알려주면서 끝이난다. 맨 마지막 줄에 보면 Backup the table aaaa 라고 출력되는데 맨 뒤에 aaaa 부분이 사용자가 입력한 값을 변수로 받아 그대로 전달해 출력하는 느낌이었다. 이렇게 abcd를 입력하면 abcd가 출력된다. 이 부분에서 뭔가 장난을 칠..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/683) A-2 문제는 드랍퍼가 특정 악성코드를 10분에 1회 실행하도록 등록했는데 해당 악성코드의 해시와 다운로드 URL을 알아내는 것이 목표이다. 지난 A-1 문제에서 드랍퍼가 msedge.exe 파일인 것을 확인했었다. 해당 파일은 다운로드 폴더 안에 있는 이 파일인데 HxD를 이용하여 해당 파일을 열어봤더니 중간 부분부터 Base64 인코딩된 문자열 같은게 보였다. CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 한 뒤 Base64 디코딩을 한번 더 해주면 Powers..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 H-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/681) H-2 문제는 공격자가 스크린 캡처, 클립보드 데이터 유출 시 secure shell 을 활용했는데, 이 때 공격자가 파일을 업로드한 서버의 계정 및 암호를 찾는것이 목표이다. 사실 이번 문제는 거의 공짜로 주는 문제였다.. 이전 문제에서 이미 다 답을 구해놨기 때문.. 위 파워쉘 스크립트들이 스크린 캡쳐, 클립보드 데이터를 유출하는 내용인데 공통적으로 들어가 있는 이 부분을 보면 된다. pscp.exe 를 이용해 원격지인 192.168.35.85로 데이터를 유출하는데 -pw 옵션으로 알 수 있듯이 비밀번호는 l@2@ruz!! 이고 서버 계정..

스테가노그래피 카테고리에 분류된 Root Me에서 제공하는 Easy 난이도의 문제 어떻게 보면 어려울 수 있는데 방법을 알고나면 아주 쉬운 문제이다. 풀이수가 문제의 난이도를 증명해 주고 있다. 문제에서 주어지는 것은 journal.jpg 파일이다. 뭔가 프랑스어 처럼 보이는 말로 길게 써있는데 일단 내용은 무슨뜻인지 모르겠다.. 문제의 제목인 "Dot and Next line" 이 가장 큰 힌트이다. 그림 속 문장에 있는 점(dot) 들을 이용해 문제를 풀어주면 된다. Next line 이라 되어있어서 점이 나온 후 그 다음 줄을 어떻게 하는것이라 생각할 수 있는데 그렇게 되면 마지막 점에서 할게 없어져버린다. 여기서는 위 그림과 같이 점이 있는 위치 바로 위에 있는 알파벳을 읽어주면 된다. 각 점 위..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 G-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/677) G-2 문제는 공격자가 스크린 캡쳐와 클립보드 데이터 캡쳐를 위해 공격자 서버로부터 스크립트를 다운받는데, 이때의 시각과 URL을 찾는것이 목표이다. G-1 문제에서 이 두 파워쉘 스크립트를 확인했었다. 내용을 보면 각각 스크린 캡쳐와 클립보드 데이터를 훔쳐가는것을 알 수 있는데 해당 파워쉘 코드가 어디서부터 시작되었는지를 확인해야 한다. E-3 문제을 풀때 복원한 바이너리에서 문제의 원인이 되는 스크립트를 http://192.168.35.85/logout.php 에서 다운받았다는걸 확인했었다. Sysmon 로그를 통해 해당 powershel..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/675) G-1 문제는 클립보드 데이터가 최초로 유출된 시각과 유출에 사용된 도구의 당시 PID를 찾는것이 목표이다. 이전에 풀이했던 E-3 문제를 보면 (https://hackingstudypad.tistory.com/665) 복원한 바이너리 파일에서 http://192.168.35.85/logout.php 로 접속하는것을 볼 수 있다. 해당 위치로의 접속 흔적은 바탕화면\Log 폴더 안에 있는 4.pcapng 파일에서 찾을 수 있다. 이렇게 logout string을 검색하면 금방 찾는다. 해당 패킷을 우클릭 - Follow - HTTP Strea..

247CTF 에서 제공하는 MODERATE 난이도의 리버싱 문제 문제에서 주어지는 것은 The Secret Lock.html 파일이다. 문제에서 주어진 HTML 파일을 실행시켜 보면 이런 화면이 나온다.. 번호 40개짜리 자물쇠인데 각 번호는 0부터 500까지 구성되어 있다. 자전거 자물쇠처럼 돌려서 맞춰야 하는건데 일단 확률부터 말도 안되고, 실제로 돌려볼려해도 너무 느려서 이번생 안에는 도저히 못한다. F12를 눌러 개발자도구를 열어 Javascript 코드를 보니 플래그를 검증하는 듯한 부분이 보였다. 해당 부분을 깔끔하게 보이게 정리해보니 이런 형태였다... 무려 120줄이다. 이 어마어마한 연립방정식을 풀어야 플래그를 찾을 수 있는데 마치 수능을 다시보는 기분이었다. from z3 import ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/673) F-4 문제는 공격자가 피해 호스트에서 유출한 정보에서 플래그를 획득하는 것이 목표이다. 처음엔 피해 호스트에 주기적으로 뜨는 CMD 창에서 힌트가 있다고 생각해 여기 있는 파일들을 위주로 살펴봤는데 아니었다. 한참 헤매다가 C:\Users\Kang\AppData\Roaming\Microsoft\Windows\Recent 경로를 살펴보니 flag.txt 파일이 있는게 보였다. 눌렀더니 .lnk 파일인듯 바로가기가 올바르지 않다고 한다. 그래서 우클릭 - 속성에 들어가 봣는데 C:\Users\Kang\Downloads\flag.txt 경로에 원..