보안맨

Root Me 에서 제공하는 쉬운 난이도의 스테가노그래피 문제 문제에서 제공되는 것은 ch3.wav 파일이다. 해당 파일을 재생해보면 삐리삐리빅 하면서 이상한 알 수 없는 소음이 들린다. 사실 이 문제는 스펙토그램 같이 wav 파일 스테가노그래피 같은 형태가 아니라 단순히 wav 파일 속도와 재생방향만 조작하면 해결할 수 있다. https://twistedwave.com/online TwistedWave Online Audio Editor TwistedWave is a browser-based audio editor. You only need a web browser to access it, and you can use it to record or edit any audio file. twistedwav..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/675) G-1 문제는 클립보드 데이터가 최초로 유출된 시각과 유출에 사용된 도구의 당시 PID를 찾는것이 목표이다. 이전에 풀이했던 E-3 문제를 보면 (https://hackingstudypad.tistory.com/665) 복원한 바이너리 파일에서 http://192.168.35.85/logout.php 로 접속하는것을 볼 수 있다. 해당 위치로의 접속 흔적은 바탕화면\Log 폴더 안에 있는 4.pcapng 파일에서 찾을 수 있다. 이렇게 logout string을 검색하면 금방 찾는다. 해당 패킷을 우클릭 - Follow - HTTP Strea..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/673) F-4 문제는 공격자가 피해 호스트에서 유출한 정보에서 플래그를 획득하는 것이 목표이다. 처음엔 피해 호스트에 주기적으로 뜨는 CMD 창에서 힌트가 있다고 생각해 여기 있는 파일들을 위주로 살펴봤는데 아니었다. 한참 헤매다가 C:\Users\Kang\AppData\Roaming\Microsoft\Windows\Recent 경로를 살펴보니 flag.txt 파일이 있는게 보였다. 눌렀더니 .lnk 파일인듯 바로가기가 올바르지 않다고 한다. 그래서 우클릭 - 속성에 들어가 봣는데 C:\Users\Kang\Downloads\flag.txt 경로에 원..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/671) F-3 문제는 공격자가 HTTP 프로토콜을 이용하여 데이터를 유출할 때 공격자 측 URL과, 이때 피해 호스트 측 압축파일의 파일명을 찾는것이 목표이다. 사실 이건... 별도로 풀이하지 않아도 지난 F-2 문제 풀이에서 확인할 수 있다. 바로 이 sysmon 로그에서 인코딩된 powershell 스크립트를 디코딩하면 이런 결과물을 얻을 수 있었는데 공격자가 유출하는 url은 http://192.168.35.85:8000/upload 이고 피해 호스트 측의 압축파일명은 winlog.tar 가 된다.. 이렇게 끝나면 허무하기 때문에 다른 풀이도 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/667) F-1 문제는 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서 플래그를 획득하는 것이 목표이다. 이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다. E-3 에서 gametime.dll 이 실행되는 것을 확인했었다. 바탕화면 Log 폴더에 제공되어 있는 1.pcapng 파일을 wireshark 로 열어보면 중간쯤에서 http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 MZ 헤더로 시작하는 파일을 다운로드 받은것..

[2022 화이트햇 콘테 2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/665) E-3 문제는 피해 호스트에 설치된 악성코드 중 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드가 최초로 실행된 시각과, 당시 PID를 찾는것이 목표이다. 윈도우 이미지를 켜보면 위와 같이 cmd 창이 갑자기 켜지면서 이미지 내에 있는 파일 목록이 어딘가로 유출되고있는 듯한 장면이 연출된다. SysinternalsSuite의 Autoruns 도구를 이용해서 자동실행 관련 설정들을 확인해 보면 시스템 부팅과 관련한 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\..

2023년 7월 합격한 디지털포렌식 전문가 2급 자격증 사단법인 한국포렌식학회, 한국인터넷진흥원에서 공동발급하는 국가공인 민간자격이다. 이제야 업로드하는 이유는.. 사실 붙은지 몰랐기 때문이다. 분명 8월쯤 합격발표되는 날에 들어가 봤을때 불합격으로 떴던거 같아서 별생각없이 있다가 11월에 치뤄지는 21회 시험을 접수하려고 오랜만에 들어가 봤는데.. 띠용? 합격으로 되어있었다.. 기억이 왜곡된 것인가.. 자격증은 이렇게 멋지게 포장되어서 온다. 상장형과 카드형 둘다 한번에 발급해준다. 디지털포렌식 전문가 2급 자격증은 서울에서만 시험을 볼 수 있다. 홈페이지에는 서울, 대전으로 나와있긴 한데 서울역 근처에 있는 시험장소에서만 치뤄지는듯 하다. 응시료는 필기 6만원, 실기 15만원으로 꽤 비싼편이다.. 반..

247CTF 에서 제공하는 MODERATE 난이도의 네트워크 포렌식 문제 문제에서는 web_shell.pcap 파일이 주어진다. 해당 파일을 Wireshark 로 열어보면 특정 웹 서버에 대해서 brute force 하는 듯한 흔적을 찾을 수 있다. uri 를 계속 바꿔가면서 GET 요청을 보내는데, 돌아오는 응답은 모두 404 인것이 보인다. 쭉 내려보다가 /uploader.php 경로에서 200 OK 가 떨어진걸 확인할 수 있었다. 200 OK를 확인한 후 POST 패킷을 이용해 어떤 데이터를 보내고 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 해보니 뭔가 난독화된 PHP 코드를 전송하고 있는데 자세히 보면 그렇게 어렵지 않다. 보기 쉽게 쓰면 위와 같은데 먼저 str_re..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/661) E-1 문제는 공격자가 기존 프로그램의 구성 요소를 삭제하고 악성코드를 설치한 시각과 공격자가 삭제한 프로그램 경로를 찾는것이 목표이다. 이번 문제는 Sysmon 로그를 통해 초기분석을 했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 지난 D-3 문제에서 Gnuwnkfi.exe 를 실행시킨 파워쉘 로그가 찍힌 직후의 로그를 보면 또다시 한번 powershell 이 실행되고, ps1 파일이 생성되는것을 sysmon 로그를 통..