보안맨

쉬운 난이도의 네트워크 패킷 포렌식 문제 파일 하나로 세 개의 문제를 푸는 방식이다. 문제에서 주어지는것은 hack3rm4n_exp0sed.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금 내리다 보면 98번 패킷에서 Welcome to Pure-FTPd 라는 문구가 보인다. FTP 프로토콜을 이용해 어떤 파일같은걸 전송하려는듯 하다. 조금 내려가다보면 144번째 패킷부터 supersecure.7z 파일을 전송하고 있는것이 보인다. 해당 패킷을 우클릭 - Follow - TCP Stream 을 눌러서 확인해보면 이렇게 전송되는 Raw 데이터를 확인할 수 있다. 아래쪽에서 Show data as 를 Raw 로 설정해준 뒤 ..

쉬운 난이도의 네트워크 패킷 포렌식 문제 파일 하나로 세 개의 문제를 푸는 방식이다. 문제에서 주어지는것은 hack3rm4n_exp0sed.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금 내리다 보면 98번 패킷에서 Welcome to Pure-FTPd 라는 문구가 보인다. FTP 프로토콜을 이용해 어떤 파일같은걸 전송하려는듯 하다. 조금 더 내려서 313, 314 번째 패킷을 보면 FTP-DATA 로 butter.jpg 파일을 전송하는 것이 보인다. 해당 패킷을 우클릭 - Follow - TCP Stream 을 눌러서 확인해보면 이렇게 전송되는 Raw 데이터를 확인할 수 있다. 파일 앞쪽에 JFIF 라는 문구가 보이는..

MISC 카테고리에 있던 문제 포렌식으로 분류해도 될 것 같다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 읽어보면 친구에게 UDP 를 이용해 플래그를 한글자씩 보내고 있었는데 누군가가 이상한 데이터를 보내서 망쳐놨다고 한다. RFC 3514 와 관련있을거 같다는 힌트가 같이 주어진다. RFC 3514 가 뭔지 궁금해서 구글에 검색해봤다. 위키피디아 문서가 하나 나오는데 Evil bit 이라는 제목이다. IPv4 패킷 헤더에 추가되는 만우절에 만들어진 뭔가인듯 하다. 일단 여기까지만 대충 보고 문제 파일로 바로 들어갔다. 먼저 주어진 EBE.pcap 파일을 Wireshark 를 이용해 열어보았다. 10.0.1.10 에서 10.0.1.5 로 보내는..

조금 어려웠던 포렌식 문제 네트워크 트래픽을 캡쳐했는데 악성 행위가 있는거 같다고 찾아내보라고 한다. 문제에서 주어지는 것은 colorfull.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금만 스크롤을 내려보면 FTP 프로토콜을 이용해 files.zip 파일을 내려받은 흔적을 확인할 수 있다. 해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러 자세한 내용을 확인해 본다. Show and save data as를 Raw로 선택해주고 Save as... 버튼을 눌러 데이터를 저장해준다. 데이터 맨 앞에 50 4b 03 04 로 시작하는걸 보니 ZIP 파일이 맞다. 저장한 files.zip 파일의 압축..

CTFlearn 의 마흔한번째 문제 이번에는 네트워크 패킷 포렌식 문제이다. 뭔가 문제 설명이 길게 적혀있다. 문제 설명을 읽어보면 라우터에 접근해야하니 네트워크 패킷을 통해 비밀번호를 알아내라고 한다. 친절하게 힌트도 적혀있는데 1. 누군가 비밀번호를 이용해서 벌써 로그인을 했다. 로그인 데이터는 어디에 있나? 2. 플래그를 찾았는데 동작하지 않는다면 암호화 됐다고 생각해봐라 라고 적혀있다. 참고해서 문제를 풀어보자 문제에서 주어지는 것은 data.pcap 파일이다. pcap 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 조금 내리다 보면 40번 패킷에서 웹으로 /index.html 경로에 접근한 흔적이 보인다. 해당 패킷을 자세히..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 간단한 네트워크 포렌식 문제이다. 문제에서 주어지는 파일은 dump.pcap 파일이다. pcap 파일은 패킷캡쳐 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 와이어샤크로 열면 이런 화면이 나온다. 패킷 갯수가 609개 밖에 없는 작은 파일이다. 조금 내리다 보니 13.124.89.133 이라는 호스트에서 뭔가를 다운로드 받고 있는게 보였다. 어떤걸 다운로드 받았는지 추출해 보기로 했다. File - Export O..

2020년에 진행되었던 국정원 주최 사이버공격방어대회 묵혀놨던 Write Up을 이제야 포스팅 해 본다. 이번에 풀이할 문제는 Webpacket 문제이다. 문제에서 주어지는 파일은 packet.pcapng 파일이다. pcapng 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 패킷이 약 95,000개로 좀 많아서 어디부터 봐야하나 고민하다가 일단 File - Export Objects - HTTP 로 웹 접속흔적을 살펴보기로 했다. 들어가보니 여러 흔적들이 나오는데, 그중 유일하게 Hostname이 IP 주소로 되어있고, 포트도 80이나 443이 아닌 4423 이라는 이상한 포트를 사용하는 호스트를 발견했다. login.js 파일을 가..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Packet 문제에서는 세 가지 파일이 주어진다. client.py / server.py / simple_packet.pcapng 파일이다. #!python3 from socket import * import sys def do_xor(data): key = b"\x10\x07\x19" return bytearray([data[i] ^ key[i%3] for i in range(len(data))]) if len(sys.argv) != 2: print('[-] usage : {}..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Keyboord 문제에서는 keyboord.pcap 라는 이름의 파일이 제공된다. pcap 파일은 Wireshark 라는 도구를 이용해 열어볼 수 있다. Wireshark로 열어보면 이련 화면이 나온다. Protocol 에 USB 라고 적혀있고, 문제 제목이 Keyboord 인것으로 유추해 볼 때 이 패킷은 USB 키보드를 사용한 통신 흔적인것을 알 수 있다. 와이어샤크로 USB 키보드 데이터를 분석할 때 눈여겨 봐야하는 부분은 Info 부분이 URB_INTERRUPT in 이라고 되어있는 ..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Shark Me 문제 알려지지 않은 해커가 비밀문서를 유출했다고 한다. 유출된 파일을 찾는것이 목표이다. 문제파일로 sharkme.pcapng 파일이 주어진다. 해당 파일은 Wireshark 라는 도구로 열어볼 수 있다. Wireshark로 열어보면 이렇게 패킷을 주고받은 내용을 볼 수 있다. 패킷이 16121개로 그냥 보기엔 좀 많아서 메뉴의 Statistics - IPv4 Statistics - Destinations and Ports 버튼을 눌러 대략적인 내용을 살펴보았다. 조금 내려보..