2021 화이트햇 콘테스트 본선에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다.
제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다.
A-1
공격자가 웹페이지에 공격을 수행한 최초 시각과 당시 공격자 IP는 무엇인가?
A-1 문제는
공격자가 웹페이지에 공격을 수행한 최초 시각과
당시 공격자 IP를 찾는것이다.
Write up 다시 쓰려고
가지고 있던 이미지를 켰는데
리눅스 계정 비밀번호를 따로 메모해두지 않아서
로그인 할 수가 없었다..
퀄리티는 떨어지지만 대회 당시 캡쳐한 이미지를 사용할 수 밖에 없게 되었다..
문제에선 웹페이지에 대한 공격 흔적을 찾는 것이었기 때문에
Web Access.log 를 찾아보기로 했다.
해당 VPN 서버에서는 apache 웹 서버가 구동되고 있었다.
apache 웹 로그는 버전마다 다르긴 하지만
/var/log/apache2 에 저장되어 있다.
거기에 access.log 를 보면 되는데
서버에 있던 access.log 에서는 별다른 특이점을 발견할 수 없었다.
알고보니 로그가 쌓여 로테이트 되어서
옛날 로그가 다른 파일로 저장되어 있었는데
로테이트 된 파일 이름이 access.log.1 이었다.
access.log.1 파일을 cat access.log.1 | more 을 이용해
천천히 내리면서 내용을 살펴보니
../../../../../etc/passwd 페이로드를 이용해
파일 다운로드 또는 LFI 공격을 시도한 흔적이 보였다.
로그 크기가 그렇게 크지 않아서 금방 찾을 수 있었다.
따라서 이번 문제의 플래그는
해당 로그가 찍힌 시간과, 로그에 적힌 아이피를 합친
FLAG{2021_10_05_08_52_04_192_168_0_114} 였다.
'CTF > 포렌식' 카테고리의 다른 글
| [2021 화이트햇 콘테스트 본선] B-1 - 포렌식 / SSH (126) | 2023.08.31 |
|---|---|
| [2021 화이트햇 콘테스트 본선] A-2 - 포렌식 / PPTP / SYSLOG (160) | 2023.08.29 |
| [2021CCE] Ransom - 포렌식 / XOR (167) | 2023.08.25 |
| [2021CCE] Special Event - 포렌식 (135) | 2023.08.22 |
| [2021 화이트햇 콘테스트] H-1 - 포렌식 / Wireshark / Certutil (114) | 2023.08.04 |