웹 엑세스 로그와 관련된 포렌식 문제이다.
어떻게 보면 보물찾기랑 비슷한 느낌이다.
플래그 형식은 attacker가 사용한 CVE 공격의 넘버와
attacker 가 덮어쓴 파일의 절대경로를 쓰면 된다.
아래는 회사 인프라에 대한 diagram 이 제공되어 있는데
문제푸는데 크게 상관할 부분은 아니다.
문제에서는 access.log 파일이 주어진다.
오래전 포렌식 문제에서 많이 볼 수 있었던 유형인데 뭔가 반가웠다.
access.log 파일을 열어보면
이런 내용이 들어있다.
접속자의 ip - 접속 시간 - 메소드 - 접속한 URI - 응답코드 - 응답 메세지 크기 등의 정보가 저장되어 있다.
이제 이 로그에서 공격당한 흔적을 찾으면 된다.
로그가 1,857줄 밖에 안돼서 아주 쉬운 문제이다.
로그 앞부분에는 문제와 관련된 중요한 정보가 있을리 없기에
뒤쪽부터 역순으로 살펴보았다.
끝에서부터 스크롤을 대충 올리다 보니
1,684번째 줄에서 ../../../../../../etc/passwd 파일을 가지고 장난치는 것처럼 보이는 로그가 나왔다.
/etc/passwd 는 문제 예시에 나왔던 파일인데
설마 이게 정답일까 싶어서 넣어봤지만 역시나 아니었다.
/etc/passwd 는 취약점 테스트 한거라고 생각하고 더 밑으로 내려봤다.
조금 더 내려보니
../../../../../home/webuser/.ssh/id_rsa_backup 파일 로그를 찾을 수 있었다.
ssh 원격접속을 위한 프로필 백업을 덮어쓴것이다.
이 이후로는 별다른 내용이 없어 이게 정답일거라 생각했다.
이제 이 공격의 CVE 넘버를 알아내야한다.
알아내는것은 쉽다.
로그에서 본 URI 를 구글에 그대로 검색하면
exploit-db 링크가 나오는데
해당 링크에 들어가면
exploit 코드와 함께 CVE 넘버가 제공된다.
알아낸 사실들로 플래그를 제출하면 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [HeroCTF] PDF-Mess - 포렌식 / PDFStreamDumper (76) | 2023.06.05 |
|---|---|
| [HeroCTF] PNG-G - 포렌식 / Stegoveritas (99) | 2023.06.03 |
| [Space Heroes CTF] tarry Night - 포렌식 / HxD (49) | 2023.05.12 |
| [Space Heroes CTF] i oftensee star wars - 포렌식 / OTF / HxD (60) | 2023.05.08 |
| [Space Heroes CTF] space_stream - 포렌식 / Autopsy / binwalk (44) | 2023.05.07 |