보안맨

HackTheBox에서 제공하는 HARD 난이도의 포렌식 문제 HARD 로 분류되어있긴 하나 다른 HARD 난이도 문제들에 비해선 쉬운편이다. 문제파일은 다운로드 받으면 패킷캡쳐파일과 support.php 가 들어있다. 패킷캡쳐 파일에는 웹 서버와 통신한 내용이 들이있다. URI가 support.php 인 통신이 있는걸로 보아 이 support.php 가 문제 파일로 제공된 파일과 같은 내용인듯 하다. support.php 에는 난독화된 내용이 들이었다. 그런데 자세히 보면 그렇게 어렵게 난독화되어있지 않다. 마지막에 str_replace 하는게 고작이기 때문에 수작업으로도 깔끔하게 고칠 수 있다. $k="80e32263"; $kh="6f8af44abea0"; $kf="351039f4a7b5"; $p="..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. A-3 문제는 이전 A-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/565) A-2 에서 드랍퍼가 위치한 서버의 IP를 Outlook을 통해 확인했었다. A-3 이메일을 분석하여 플래그를 획득하여라 A-3 문제는 해당 이메일을 분석해서 플래그를 획득하는 것이었다. 일단 이메일에 링크된 주소로 ..

네트워크 패킷과 관련된 포렌식 문제 누군가 서버를 해킹했는데 패킷을 보고 문제에서 요구하는 사항들을 발견해야한다. 문제에서 주어지는 것은 dump.pacp 파일이다. .pcap 파일은 Wireshark 라는 도구로 열어볼 수 있다. 이렇게 네트워크 패킷이 보이는데 가장 먼저 눈에 띄는 것은 FTP 프로토콜이다. FTP는 File Transfer Protocol의 약자로 파일을 송수신하는 프로토콜이다. FTP 패킷을 선택하고 우클릭 - Follow - TCP Stream 을 눌러준다. 내용을 보면 anonymous 가 활성화되어 있어서 비인가자가 로그인 한 것 같다. vulnerableService 와 serviceVersion 은 맨 위에서 확인할 수 있다. vsFTPd 와 2.3.4 가 해당하는 값이다..

네트워크 패킷과 관련한 포렌식 문제 제목이 문제의 힌트였다. 문제에서 주어지는 것은 WhoCanHazFlag.pcapng 파일이다. .pcapng 파일은 Wireshark 라는 도구로 열어볼 수 있다. Wireshark 로 열어보면 이런 화면이 나온다. DNS, UDP 패킷부터 HTTP, OCSP, TLS 등등 다양한 프로토콜의 패킷이 약 900개 정도 캡쳐되어 있다. 문제는 어떤 패킷을 골라서 봐야하냐는 것인데 아까 언급했듯이 문제 제목이 힌트였다. 패킷 중에 Who has 라는 문구를 가진 패킷이 있따. ARP 패킷인데 Address Resolution Protocol 으로 네트워크 상에서 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 이 패킷의 맨 뒷부분을 보면 flgD..

이번엔 주황색(Meduim) 난이도의 네트워크 문제이다. 생각보다 풀이수가 많다. 주어진 네트워크 트래픽에서 뭔가를 찾아보라고 한다. 문제에서 주어지는 것은 ch9.pcap 파일이다. pcap 파일은 wireshark 라는 도구를 이용해 열어볼 수 있다 열어보면 이런 화면이 나오는데 일반적으로 알고있는 TCP 나 UDP 패킷은 아닌것처럼 보였다. Modem 과 Unknown 과의 통신을 보여주는데 Length 가 굉장히 짧은 모습이다. 문제에서 참고하라고 링크 걸어놓은 RFC 5724 문서를 살펴봤다. Nokia, SMS 같은 내용이 적혀있는걸로 보아 문자메세지와 관련된 패킷인가 보다. 대충 이해해보면 하나의 문자를 8bit 가 아닌 7bit 로 보내는 프로토콜인것 같다. 처음엔 각 패킷 맨 뒤에 있는 ..

SSL 패킷 포렌식과 관련된 문제이다. 19th DEFCON CTF qualification 에 나왔던 문제라고 한다. 밑에 google 에 inurl:server.pem 이라고 검색해보라는 힌트도 있다. 문제에서 주어진 ch5.pcap 파일을 열어보면 이런 화면이 나온다. TLSv1 을 사용하는 패킷들이 보인다. TLS 패킷의 자세한 내용을 보려면 우클릭 - Follow - TLS Stream 을 눌러야 하는데 비활성화 되어있는 모습이다. 암호화 통신이기 때문에 Key 가 있어야 내용을 확인할 수 있기 때문이다. 힌트에 나온대로 구글에 inurl:server.pem 이라고 검색해봤다. 맨 위에 defcon 이라고 적힌 링크가 나오는데 이건 들어가보니 다른것 같고, 아래쪽에 있는 Apple Open So..

Root Me 에서 제공하는 네트워크 패킷 포렌식 관련 문제 원래라면 더 어렵게 풀어야 했으나 많은 사람이 풀어서 그런지 의도치않게 쉽게 풀렸다. 문제에서 주어지는 것은 ch23.pcapng 파일이다. 여기서 user password 를 찾아야 한다. pcapng 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 여러 패킷들이 섞여있는데 문제 제목에 나와있는 POP 프로토콜 패킷을 찾아본다. POP 프로토콜은 Post Office Protocol 의 약자로 원격 서버에서 TCP/IP 연결을 통해 이메일을 가져오는데 사용된다. 이렇게 pop 이라고 검색하면 필터링 할 수 있다. 첫번째 패킷을 우클릭한 뒤 Follow - TCP Stream..

MISC 로 분류된 문제인데 포렌식 쪽으로 분류해도 될것 같다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제에서 주어지는 파일은 admiral_shark.pcapng 이다. Wireshark로 pcapng 파일을 열어볼 수 있다. 조금 내리다보니 TCP 패킷이 보여서 우클릭 - Follow - TCP Stream 을 해보았다. TCP Stream 의 내용을 보니 뭔가 비밀 데이터를 주고받는 느낌이었다. 조금 더 밑으로 가다보니 패킷 Length 가 다른것보다 큰 패킷이 보여서 해당 패킷을 똑같이 우클릭 - Follow - TCP Stream 을 해보았다. 대충 살펴보니 뭔가 압축된 파일인것 같았다. 일단 해당 데이터의 Show data as 를 Raw 로..

네트워크 패킷 분석과 관련된 포렌식 문제이다. 이전에도 블로그에서 비슷한 유형의 문제들을 다룬적이 있었다. 찾아보니 작년 Space Heroes CTF 에서도 비슷한 문제가 나왔었다. (https://hackingstudypad.tistory.com/88) 문제에서 주어지는 것은 chall.jpg.pacp 파일이다. Wireshark로 pcap 파일을 열어볼 수 있다. Wireshark 로 해당 파일을 열어보면 이렇게 수많은 ICMP Echo request 패킷이 보인다. 갯수를 새어보니 239,351개였다. 첫 4 패킷의 데이터만 보고 어떻게 풀어야 하는지 알 수 있었다. 첫번재 패킷의 경우 패킷의 맨 끝 data.data 부분이 ff 인것을 볼 수 있다. 두번째 패킷은 d8 이고, 세번째 패킷은 ff..

MEDIUM 난이도의 포렌식 문제 문제 설명을 읽어보면 해커가 내부 네트워크에 접근해서 고객 DB를 털어갔따고 한다. 고객 중 하나가 범인이라는데 누군지 잡아달라고 한다. 문제에서는 패킷파일이 주어진다. 주어진 패킷 파일은 Wireshark 라는 도구로 열어볼 수 있다. 주어진 패킷파일을 와이어샤크로 열어보면 10.0.2.15 에서 10.0.2.3 주소로 계속 패킷을 보내는 것을 볼 수 있다. 10.0.2.15 가 해커의 주소이고 뭔가 열린 포트를 찾기위해 스캔하는것 처럼 보인다. 계속 내리다가 2,550 번째 패킷 쯤 가면 TELNET 프로토콜을 이용해 뭔가 데이터를 주고받은 흔적이 보인다. 해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러서 확인해본다. 서버에서 admin / ..