MEDIUM 난이도의 포렌식 문제
문제 설명을 읽어보면
해커가 내부 네트워크에 접근해서 고객 DB를 털어갔따고 한다.
고객 중 하나가 범인이라는데 누군지 잡아달라고 한다.
반응형
문제에서는 패킷파일이 주어진다.
주어진 패킷 파일은 Wireshark 라는 도구로 열어볼 수 있다.
주어진 패킷파일을 와이어샤크로 열어보면
10.0.2.15 에서 10.0.2.3 주소로 계속 패킷을 보내는 것을 볼 수 있다.
10.0.2.15 가 해커의 주소이고
뭔가 열린 포트를 찾기위해 스캔하는것 처럼 보인다.
계속 내리다가
2,550 번째 패킷 쯤 가면
TELNET 프로토콜을 이용해 뭔가 데이터를 주고받은 흔적이 보인다.
해당 패킷에서 우클릭 - Follow - TCP Stream 버튼을 눌러서 확인해본다.
서버에서 admin / admin 이라는 취약한 id/pw 를 사용하고 있어
쉽게 접속을 했고,
그다음 nc를 이용해 원격접속 포트를 열어놓은 흔적이 보인다.
그다음 파일 목록을 스캔하고
costumer.sql 파일을 /tmp 로 옮겨서 가져가려는 시도를 하고있다.
마지막에 cat costumers.sql 명령어로
해당 파일의 내용을 출력하고 있는데
내리다보면 다른것과 다르게
고객정보가 인코딩된 것이 보인다.
CyberChef(https://gchq.github.io/CyberChef/) 에서
Base58 로 디코딩을 해주면
플래그를 찾을 수 있다.
반응형
'워게임 > HackTheBox' 카테고리의 다른 글
| [HackTheBox] Reminiscent - 포렌식 / Volatility (70) | 2023.04.05 |
|---|---|
| [HackTheBox] USB Ripper - 포렌식 / Python (56) | 2023.03.23 |
| [HackTheBox] Cat - 포렌식 / Android (70) | 2023.03.19 |
| [HackTheBox] Digital Cube - 포렌식 / QR 코드 (36) | 2023.03.17 |
| [HackTheBox] Eternal Loop - MISC / Shell script / John the Ripper (46) | 2023.03.15 |