보안맨

[B-5] 해당 가상머신의 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트는? 플래그 형식은 FLAG{IP_PORT} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/699) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. B-5 문제는 침해사고를 당한 Windows10 이미지에서 동작하는 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트를 찾는것이 목표이다. 사실 이건 지난 B-4 문제를 풀면 바로 해결할 수 있는데 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석하면 목적지 주소가 15.165.18.103 인 곳으로 계속 통신이 이루어..

[B-3] 문제에서 password 파일을 생성하는 악성 코드를 분석하여 플래그를 획득하라 플래그 형식은 FLAG{...} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/697) 정신을 어디 뒀었는지 이번 문제화면도 캡쳐를 못했다.. B-4 문제는 B-3 문제에서 password 파일을 생성하는 악성 코드를 분석해서 플래그를 획득하는 것이 목표이다. B-3 에서 찾은 파워쉘 코드이다. 이걸 보고 mimikatz.exe 가 password 파일을 생성하는거라고 생각해서 분석을 해봤는데 별다른 소득이 없었다. 그래서 다시 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해봤는데 목적지 주..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/667) F-1 문제는 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서 플래그를 획득하는 것이 목표이다. 이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다. E-3 에서 gametime.dll 이 실행되는 것을 확인했었다. 바탕화면 Log 폴더에 제공되어 있는 1.pcapng 파일을 wireshark 로 열어보면 중간쯤에서 http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 MZ 헤더로 시작하는 파일을 다운로드 받은것..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/663) E-2 문제는 공격자가 피해 호스트의 스크린샷, 클립보드 등 자격증명을 지속적으로 유출하기 위해 설치한 악성코드를 분석해 플래그를 획득하는 것이 목표이다. 지난 문제에서 디코딩한 파워쉘 스크립트를 보면 http://192.168.35.85/index.do 쪽으로 접근하는 흔적을 찾을 수 있다. 해당 정보를 바탕으로 바탕화면\Log 폴더의 3.pcapng 파일을 Wireshark로 분석해보면 136845 번째 패킷에서 똑같은 목적지의 패킷을 찾을 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 Res..

247CTF 에서 제공하는 MODERATE 난이도의 네트워크 포렌식 문제 문제에서는 web_shell.pcap 파일이 주어진다. 해당 파일을 Wireshark 로 열어보면 특정 웹 서버에 대해서 brute force 하는 듯한 흔적을 찾을 수 있다. uri 를 계속 바꿔가면서 GET 요청을 보내는데, 돌아오는 응답은 모두 404 인것이 보인다. 쭉 내려보다가 /uploader.php 경로에서 200 OK 가 떨어진걸 확인할 수 있었다. 200 OK를 확인한 후 POST 패킷을 이용해 어떤 데이터를 보내고 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 해보니 뭔가 난독화된 PHP 코드를 전송하고 있는데 자세히 보면 그렇게 어렵지 않다. 보기 쉽게 쓰면 위와 같은데 먼저 str_re..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/657) D-2 문제는 공격자가 피해 호스트에 접근할 때 사용한 도구와 프로토콜을 찾는 것이 목표이다. 지난 문제에서 Sysmon log 의 net share 실행 흔적을 기반으로 바탕화면의 Log 폴더 내 2.pcapng 파일을 분석해 192.168.35.199 IP 주소에서 공격자가 SMB 프로토콜을 이용해 원격 접속했다는 것을 알아냈다. 따라서 문제에서 요구하는 프로토콜은 SMB 이다. 이제 도구를 찾아야 하는데 Sysinternals Suite 도구 중 SMB 와 관련된 도구는 PSEXEC.EXE 이다. 따라서 이번 문제의 플래그는 FLAG{P..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/655) D-1 문제의 목표는 피해 호스트에 원격 접근을 수행한 공격자 서버 아이피를 찾는 것이다. 이번 문제는 Sysmon 로그와 함께 네트워크 패킷 파일을 이용해 해결했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) Sysmon 로그를 보다보면 net share 명령어를 사용하는것이 보인다. 물론 이 로그의 시간대는 문제의 시간대와 맞지 않지만 net share 명령어를 쳤다는게 힌트가 되지 않을까 싶어서 SMB 프로토콜을 위주로..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/644) B-2 문제는 악성코드를 다운받는 공격자 서버의 종료와 버전을 알아내는 것이 목표이다. 이전 문제에서 악성 스크립트가 실행되었던 시각을 프리패치의 WSCRIPT 의 Last Run Time 를 통해 확인했었다. 악성코드를 다운받은것은 이 시간 이후일 것이기 때문에 시간을 기준으로 잡고 분석을 진행했다. 제공된 Win10 이미지에서 바탕화면의 Log 폴더에 들어가면 pcapng 파일들이 있는것을 볼 수 있다. 이중 첫번째 1.pcapng 파일을 통해 시간을 알 수 있다. 스크립트가 실행된 2022-10-13 18:50:40 근처의 패킷을 살펴보..

247CTF에서 제공하는 네트워크 패킷 분석과 관련된 문제 기존에 블로그에서 다뤘던 문제 유형과 크게 다르지 않은 쉬운 문제이다. (https://hackingstudypad.tistory.com/495) 문제에서 주어지는 것은 error_reporting.pcap 파일이다. 해당 파일을 Wireshark 로 열어볼 수 있는데 열어보면 맨 위에 하나만 ICMP request 패킷이고 나머지는 ICMP reply 패킷인 것을 볼 수 있다. reply 패킷에 전송될 데이터가 숨겨져 있는 느낌이다. 두번째 패킷을 선택해 data.data 영역을 보면 ff d8 ff e0 로 시작하는것을 볼 수 있다. FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. JPG 파일을..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. H-1 문제는 이전 G-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/634) H-1 공격 당시에 공격자가 사용했던 도메인 이름은 무엇인가? H-1 문제는 공격 당시 공격자가 사용했던 도메인 이름을 찾는것이 목표이다. 이번 문제의 플래그는 C:\Logs 폴더의 2.pcapng 를 분석해서 지난 G-1 문제에서 3.36..