반응형

전체 글 712

[2022 화이트햇 콘테스트 본선] F-1- 웹해킹 / Python / YAML Command Injection

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-5 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/720) F-1 문제에서는 D-2의 악성코드와 통신하는 서버에 취약점을 찾아 공격하고 플래그를 획득하는 것이 목표이다. D-2 문제의 악성코드는 http://15.165.18.103/gmae 에서 다운받은 dd.exe 인데 무력화환 도구들을 실행시켰을 때 dd.exe 가 대신 실행되도록 하는것이었다. dd.exe 가 실행되면 3.39.253.212 목적지로 어떤 값을 보내는데 그 값이 형태가 YAML 형식이었다. 또한 서버의 응답 헤더를 확인해 봤을때 Python 을 이용해 구동중인 것을 확인했다. 이 부분은 문제푸는데 정신이 없어서 캡쳐를 제대로 하..

CTF/웹해킹 2024.04.10

[AWS Certified Solutions Architect - Associate] 시험정보 / 후기 / 공부방법

2024년 3월 취득한 AWS Certified Solutions Architect - Associate 자격증(SAA-C03) AWS Cloud Practitioner 를 취득한 후 대략 1년 반 뒤에 취득했다. 해당 자격증은 AWS 에서 주관하고 있는 AWS 클라우드 관련 자격증이다. AWS 에서 주관하는 자격증이 총 12개가 있는데 Cloud Practitioner 는 그중 가장 쉬운 난이도의 자격증이고, 그것보다 한단계 위인 ASSOCIATE 레벨의 자격증 중 Solutions Architect 분야의 자격이다. 시험은 총 130분간 온라인으로 치뤄지고, 한번 응시하는데 150달러가 든다. 총 65개 문항으로 구성되어 있으며, 모두 객관식이고 기본적으로 4지선다인데 복수정답을 선택하는 문제가 일부..

[2022 화이트햇 콘테스트 본선] E-5- 포렌식 / Sysmon View / Powershell

[E-5] 공격자가 가장 첫번째로 유출한 파일의 SHA1 해시는? 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/718) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. Sysmon View 도구를 이용해 피해 윈도우 이미지의 sysmon 로그를 분석하다보면 powershell 실행기록 중 PID 가 4564인 로그를 찾을 수 있다. BASE64 인코딩된 명령어가 실행되었는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

CTF/포렌식 2024.03.30

[SuNiNaTaS] Challenge11 - 리버싱 / Ollydbg

SuNiNaTaS 에서 제공하는 열한번째 문제 리버싱으로 분류된 문제이다. 문제에서 주어지는 것은 Project1.exe 파일이다. 실행시켜보면 이렇게 Key 값을 찾으라는 문구와 함께 입력창이 있는 프로그램이 뜬다. 해당 프로그램을 분석하기 위해 올리디버거를 이용해 해당 프로그램을 열어주었다. 우선 가장 먼저 우클릭 - Search for - All referenced text strings 를 눌러서 스트링을 살펴보았다. 그랬더니 Congratulation! , Authkey : 라는 글자가 보였고 그 근처에서 2V, XS, B6, H1, 0F 가 적혀있는것이 보였다. 이게 뭔가 KEY 값일거 같아서 순서대로 붙혀서 넣어봤는데 답이 아닌것 같았다. 일단 2V 와 Authkey 부분에 F2를 눌러서 브..

워게임/SuNiNaTaS 2024.03.26

[2022 화이트햇 콘테스트 본선] E-4 - 포렌식 / IDA

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/716) E-4 문제는 E-2에서 식별한 악성코드가 Injection 하는 악성 DLL을 분석하여 플래그를 획득하는 것이 목표이다. E-2 에서 식별한 악성코드인 FXSSVC.dll 을 IDA로 분석하다 보면 System32 경로에 있는 splsrv64.dll 로 뭔가를 하고있는걸 볼 수 있다. 아마 이 파일이 Injection 대상일거라 생각해서 해당파일을 찾아 역시 IDA를 이용해 분석해보았다. splsrv64.dll 을 분석해보면 어떤 값을 0x18로 xor 하여 szUrlName 에 담고있는것을 확인할 수 있다. xor 하는 대상은 여기에 보이..

CTF/포렌식 2024.03.22

[SuNiNaTaS] Challenge10 - 리버싱 / dnSpy

SuNiNaTaS 에서 제공하는 열번째 문제 리버싱으로 분류된 문제이다. 문제페이지에 들어가면 문제파일을 다운로드 받을 수 있다. 다운로드 받으면 reversing.exe 파일을 볼 수 있다. 실행시켜보면 이런 화면이 나온다. 간단하게 비밀번호 같은거 입력하는 창이 나오는데 잘못된 값을 입력하면 이렇게 Try again! 이 나온다. 처음엔 IDA로 분석을 해보려했는데 Microsoft.NET assembly 파일인것 같아서 다른 도구를 사용해보기로 했다. Releases · dnSpy/dnSpy .NET debugger and assembly editor. Contribute to dnSpy/dnSpy development by creating an account on GitHub. github.com..

워게임/SuNiNaTaS 2024.03.19

[2022 화이트햇 콘테스트 본선] E-3 - 포렌식 / Sysmon View

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/714) E-3문제는 악성코드가 DLL Injection을 수행하는데 이때 Injection의 대상이 되는 정상 프로세스의 이름과 최초로 Attach 한 PPID가 무엇인지 알아내는것이 목표이다. 지난 문제에서 prob_b 이미지 내에 있는 FXSSVC.dll 악성코드를 식별했었다. 해당 악성코드는 파워쉘 코드를 통해 http://15.165.18.103/api 로부터 다운받은 것이었다. IDA 도구를 이용해 FXSSVC.dll 파일을 열어 분석해보면 DLL Injection 대상 프로세스는 explorer.exe 임을 알아낼 수 있다. sysmon ..

CTF/포렌식 2024.03.16

[SuNiNaTaS] Challenge9 - 리버싱 / IDA

SuNiNaTaS 에서 제공하는 아홉번째 문제 리버싱으로 분류된 문제이다. 문제페이지에 들어가면 뭔가를 다운받도록 한다. 해당 파일은 zip 파일로 압축을 풀려면 비밀번호가 필요하다. 비번은 위에 나와있듯이 suninatas 이다. 안에는 Project1.exe 파일이 들어있다. 실행시키면 이렇게 작은 창이 뜬다. 뭔가를 입력하고 Click! 을 눌러봤는데 별다른 반응이 없었다. IDA라는 디스어셈블러를 이용해 해당 파일을 분석해봤다. 함수 목록을 살펴보는데 TForm1_Button1Click 가 보였다. 아마도 실행창에서 보이는 버튼을 눌렀을 때 실행되는 함수일 것이다. 해당 함수에 들어가서 f5를 눌러 수도코드를 살펴본다. 뭔가를 비교한 다음에 참이되면 Congratulation! 이라는 메세지 박스..

워게임/SuNiNaTaS 2024.03.13

[2022 화이트햇 콘테스트 본선] E-2 - 포렌식 / Powershell / Certutil

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/712) E-2 문제는 공격자가 호스트에 침투한 Windows 서비스 중 하나를 조작하여 악성코드를 설치했는데, 해당 악성코드의 해시 값과 다운로드된 URL를 특정하는 것이 목표이다. 이미지를 분석하다 보면 cli_mgr.ps1 파워쉘 스크립트를 찾을 수 있다. 해당 스크립트의 내용은 위와 같은데 http://15.165.18.103/api 로부터 C:\Windows\System32\FXSSVC.dll 파일을 다운로드 받는것을 확인할 수 있다. 실제로 prob_b 이미지에서 해당 경로에 가보면 FXSSVC.dll 이 있는걸 볼 수 있다. 혼자만 수정한..

CTF/포렌식 2024.03.10

[SuNiNaTaS] Challenge8 - 웹해킹 / Python

SuNiNaTaS 에서 제공하는 여덟번째 문제 웹해킹 문제이다. 문제페이지에 접속하면 이런 로그인 창이 나온다. id/pw를 알아내야할 것 같은 느낌이다. 다른 문제들처럼 주석으로 힌트가 있을것 같아 F12를 눌러 개발자도구에서 소스를 확인해봤다. 아이디는 admin 이고, 비밀번호는 0 ~ 9999 중 하나라고 한다. 상당히 친절한 문제이다. 간단하게 Brute Force 공격을 해서 비밀번호를 알아낼 수 있다. 먼저 어떻게 데이터가 전달되는지 확인한다. POST 메소드를 이용해 id 변수에 아이디를, pw 변수에 1111을 넣어서 보낸다. 다음으로 쿠키값을 알아내야 한다. Python requests 를 이용해 문제를 해결할건데, 이 문제 페이지는 로그인을 해야만 접근할 수 있으므로, 내 쿠기값을 쥐..

워게임/SuNiNaTaS 2024.03.07
반응형