2021 화이트햇 콘테스트 본선에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다.
제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다.
C-1 문제는 지난 B-2 문제에서 이어지는 문제이다.
(https://hackingstudypad.tistory.com/616)
그리고 이번 문제가 리눅스 환경에서 해결하는 마지막 문제이다.
C-1
백도어의 경로와 공격자가 백도어를 통해 연결하고자 하는 공격자 서버의 아이피와 포트는 무엇인가?
이번엔 백도어의 경로,
그리고 백도어로 연결하고자 하는 공격자 서버의 아이피, 포트를 찾는것이 목표이다.
해당 내용은
지난번 문제 마지막에 봤던 history 명령어로 확인이 가능하다.
history 명령어로 명령어 수행 이력을 살펴보면
sudo iptables -F 명령어로 방화벽을 무력화 시킨 다음
vi .bashrc 명령이 실행된 것을 알 수 있다.
.bashrc 는 shell 생성될 때 마다 실행되는 쉘 스크립트이다.
vi 는 이 .bashrc 파일의 내용을 수정하기 위해 입력한 명령어이다.
.bashrc 의 내용을 살펴보면
파일의 맨 아래쪽에
34.143.27.8 아이피주소에 8000번 포트로 TCP 연결을 맺도록
수정해놓은 내용을 찾을 수 있다.
따라서 이번 문제의 플래그는
FLAG{/home/ubuntu/.bashrc_34.143.27.8_8000} 이 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [2021 화이트햇 콘테스트 본선] D-2 - 포렌식 / Sysmon View (174) | 2023.09.08 |
|---|---|
| [2021 화이트햇 콘테스트 본선] D-1 - 포렌식 / Wireshark (157) | 2023.09.06 |
| [2021 화이트햇 콘테스트 본선] B-2 - 포렌식 (139) | 2023.09.02 |
| [2021 화이트햇 콘테스트 본선] B-1 - 포렌식 / SSH (126) | 2023.08.31 |
| [2021 화이트햇 콘테스트 본선] A-2 - 포렌식 / PPTP / SYSLOG (160) | 2023.08.29 |