보안맨

Root Me에서 제공하는 간단하고 재밌는 암호학 문제 문제 설명을 보면 어떤 트윗이 약속장소를 숨기고 있는것 처럼 보인다고 한다. Ｃhｏose a jοｂ yоu lονｅ, and you ｗіｌl ｎeｖｅｒ have tο ｗｏrk a day in yοur lіfｅ． 이게 문제에서 제공된 트윗인데 딱 봐도 뭔가 이질감이 드느게 몇몇 글자들이 크기가 조금 다른것을 볼 수 있다. 문제 제목아래 써있는 homoglyph 를 검색해 봤는데 동형문자라고 한다. 간단하게 똑같이 생겼는데 다른 문자라고 이해하면 되는것 같다. 그래서 처음에는 저 트윗에 있는 이질감이 드는 문자들이 모두 동형문자이고, 이것들을 모으면 숨겨진 장소가 나오는줄 알았다. https://holloway.nz/steg/ Twitter Secret..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

Root Me 에서 제공하는 암호학 문제 아주 간단한 문제인데 생각보다 풀이수가 작고 난이도도 노란색으로 표시되어 있다. 문제 설명을 보면 적으로부터 획득한 암호문을 해독해야 하는 상황인듯 하다. 문제에서 제공된 링크로 들어가면 이렇게 간단한 문장 하나면 적혀있다. 그냥 봐선 이게 영언지 뭔지 도무지 알 수 없는 문장이다. Wnb.r.ietoeh Fo"lKutrts"znl cc hi ee ekOtggsnkidy hini cna neea civo lh 문제 설명에서 힌트를 준것처럼 이 문장은 Rail Fence Cipher 로 암호화 된 것이다. CyberChef(https://gchq.github.io/CyberChef) 에 가면 Rail Fence Cipher 를 디코딩 해주는 레시피가 있다. 처음에 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/667) F-1 문제는 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서 플래그를 획득하는 것이 목표이다. 이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다. E-3 에서 gametime.dll 이 실행되는 것을 확인했었다. 바탕화면 Log 폴더에 제공되어 있는 1.pcapng 파일을 wireshark 로 열어보면 중간쯤에서 http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 MZ 헤더로 시작하는 파일을 다운로드 받은것..

Root Me 에서 제공하는 암호학 문제 이번 문제는 안드로이드 패턴과 관련된 문제이다. 문제에서 제공되는 것은 ch17.tbz2 파일이다. 해당 파일을 압축 풀고 들어가보면 이런 파일과 폴더들이 보이는데 안드로이드 시스템 파일과 폴더들인것 같다. 안드로이드 패턴을 푸는것이 목표이니 여기 어딘가에 패턴에 관련된 정보가 저장되어 있을 것이다. 해당 파일을 찾는것은 검색해보면 어렵지 않다. 버전마다 다를순 있겠지만 /data/system/ 경로에서 gesture.key 파일을 찾으면 된다. 바로 그냥 상위디렉토리에서 find 돌려도 된다. https://github.com/sch3m4/androidpatternlock/tree/master GitHub - sch3m4/androidpatternlock: A ..

[2022 화이트햇 콘테 2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/665) E-3 문제는 피해 호스트에 설치된 악성코드 중 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드가 최초로 실행된 시각과, 당시 PID를 찾는것이 목표이다. 윈도우 이미지를 켜보면 위와 같이 cmd 창이 갑자기 켜지면서 이미지 내에 있는 파일 목록이 어딘가로 유출되고있는 듯한 장면이 연출된다. SysinternalsSuite의 Autoruns 도구를 이용해서 자동실행 관련 설정들을 확인해 보면 시스템 부팅과 관련한 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\..

2023년 7월 합격한 디지털포렌식 전문가 2급 자격증 사단법인 한국포렌식학회, 한국인터넷진흥원에서 공동발급하는 국가공인 민간자격이다. 이제야 업로드하는 이유는.. 사실 붙은지 몰랐기 때문이다. 분명 8월쯤 합격발표되는 날에 들어가 봤을때 불합격으로 떴던거 같아서 별생각없이 있다가 11월에 치뤄지는 21회 시험을 접수하려고 오랜만에 들어가 봤는데.. 띠용? 합격으로 되어있었다.. 기억이 왜곡된 것인가.. 자격증은 이렇게 멋지게 포장되어서 온다. 상장형과 카드형 둘다 한번에 발급해준다. 디지털포렌식 전문가 2급 자격증은 서울에서만 시험을 볼 수 있다. 홈페이지에는 서울, 대전으로 나와있긴 한데 서울역 근처에 있는 시험장소에서만 치뤄지는듯 하다. 응시료는 필기 6만원, 실기 15만원으로 꽤 비싼편이다.. 반..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/663) E-2 문제는 공격자가 피해 호스트의 스크린샷, 클립보드 등 자격증명을 지속적으로 유출하기 위해 설치한 악성코드를 분석해 플래그를 획득하는 것이 목표이다. 지난 문제에서 디코딩한 파워쉘 스크립트를 보면 http://192.168.35.85/index.do 쪽으로 접근하는 흔적을 찾을 수 있다. 해당 정보를 바탕으로 바탕화면\Log 폴더의 3.pcapng 파일을 Wireshark로 분석해보면 136845 번째 패킷에서 똑같은 목적지의 패킷을 찾을 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 Res..

247CTF 에서 제공하는 MODERATE 난이도의 네트워크 포렌식 문제 문제에서는 web_shell.pcap 파일이 주어진다. 해당 파일을 Wireshark 로 열어보면 특정 웹 서버에 대해서 brute force 하는 듯한 흔적을 찾을 수 있다. uri 를 계속 바꿔가면서 GET 요청을 보내는데, 돌아오는 응답은 모두 404 인것이 보인다. 쭉 내려보다가 /uploader.php 경로에서 200 OK 가 떨어진걸 확인할 수 있었다. 200 OK를 확인한 후 POST 패킷을 이용해 어떤 데이터를 보내고 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 해보니 뭔가 난독화된 PHP 코드를 전송하고 있는데 자세히 보면 그렇게 어렵지 않다. 보기 쉽게 쓰면 위와 같은데 먼저 str_re..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/661) E-1 문제는 공격자가 기존 프로그램의 구성 요소를 삭제하고 악성코드를 설치한 시각과 공격자가 삭제한 프로그램 경로를 찾는것이 목표이다. 이번 문제는 Sysmon 로그를 통해 초기분석을 했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 지난 D-3 문제에서 Gnuwnkfi.exe 를 실행시킨 파워쉘 로그가 찍힌 직후의 로그를 보면 또다시 한번 powershell 이 실행되고, ps1 파일이 생성되는것을 sysmon 로그를 통..