보안맨

2020년에 진행되었던 국정원 주최 사이버공격방어대회 묵혀놨던 Write Up을 이제야 포스팅 해 본다. 이번에 풀이할 문제는 Web Log 이다. 문제 제목처럼 정직하게 Web Access Log를 분석하는 문제이다. 문제파일로 access.log 파일이 주어진다. 파일 크기가 63.1MB로 꽤 크다.. 실제로 Subline Text를 이용해 파일을 열어보면 305,077개의 로그가 있는것을 볼 수 있다. 여기저기 스크롤 옮겨가며 둘러보다가 265,847번째 줄에서 특이한 로그를 발견했다. /image_view.php?idx=1 and if(ascii(substr((select flag from flag),1,1))=32, (select 1 union select 2), 0) URL로 이렇게 요청을 하..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Packet 문제에서는 세 가지 파일이 주어진다. client.py / server.py / simple_packet.pcapng 파일이다. #!python3 from socket import * import sys def do_xor(data): key = b"\x10\x07\x19" return bytearray([data[i] ^ key[i%3] for i in range(len(data))]) if len(sys.argv) != 2: print('[-] usage : {}..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Memory 문제 문제 제목처럼 간단한 메모리 포렌식 문제였다. 문제파일로는 mem.raw 파일이 주어진다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatility Foundation Volatility releases are the result of significant in-depth re..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Keyboord 문제에서는 keyboord.pcap 라는 이름의 파일이 제공된다. pcap 파일은 Wireshark 라는 도구를 이용해 열어볼 수 있다. Wireshark로 열어보면 이련 화면이 나온다. Protocol 에 USB 라고 적혀있고, 문제 제목이 Keyboord 인것으로 유추해 볼 때 이 패킷은 USB 키보드를 사용한 통신 흔적인것을 알 수 있다. 와이어샤크로 USB 키보드 데이터를 분석할 때 눈여겨 봐야하는 부분은 Info 부분이 URB_INTERRUPT in 이라고 되어있는 ..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. 그중 Simple Carv 문제 disk.img 파일이 주어진다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Shark Me 문제 알려지지 않은 해커가 비밀문서를 유출했다고 한다. 유출된 파일을 찾는것이 목표이다. 문제파일로 sharkme.pcapng 파일이 주어진다. 해당 파일은 Wireshark 라는 도구로 열어볼 수 있다. Wireshark로 열어보면 이렇게 패킷을 주고받은 내용을 볼 수 있다. 패킷이 16121개로 그냥 보기엔 좀 많아서 메뉴의 Statistics - IPv4 Statistics - Destinations and Ports 버튼을 눌러 대략적인 내용을 살펴보았다. 조금 내려보..

이번 대회의 두번째 스테가노그래피 문제 비슷한 유형의 문제들을 이미 블로그에서 다룬적이 있었다. (https://hackingstudypad.tistory.com/149) 문제 설명을 읽어보면 Agent가 어떤 이미지를 줬는데 이미지 안에 어떤 정보가 있는지 찾을 수 있냐고 물어보고 있다. 문제에서 주어진건 Hidden.jpg 파일이다. 이것이 에이전트가 줬다는 Hidden.jpg 파일이다. 파일을 우클릭해서 속성을 눌러 자세히 탭으로 이동해보면 만든 이 칸에 이상한 글이 보인다. the password is shell 이라고 적혀있는데 이 문제가 스테가노그래피 문제이고, 비밀번호를 언급했다는점에서 steghide 라는 도구를 떠올렸다. 스테가노그래피 문제를 풀때 사용하는 다양한 도구 중, steghid..

간단한 스테가노그래피 문제이다. 스테가노그래피는 데이터를 은폐하는 기술을 말한다. 사진파일이나 음악파일 등에 비밀데이터를 숨겨서 전송하는데 사용한다. 문제 설명이 아주 큰 힌트이다. I was in the seventh heaven painted red green and blue 이 문구를 잘 기억해두면 문제 푸는데 아주 큰 도움이 된다. 문제 파일로 주어지는것은 Seventh_Heaven_Image.jpeg 파일이다. 사진은 위에 보이는것과 같다. 사진을 자세히 보면 왼쪽 위가 뭔가 깨진것처럼 되어있는것을 볼 수 있다. 문제제목과 설명에 언급된 Heaven 이 여기를 의미하는것이 아닐까 싶었다. 800% 정도 사진을 확대해보면 보이는것 처럼 1픽셀마다 다른 색깔이 들어있는게 보이는데, 색상에 어떤 규칙..

중국에서 진행한 CTF 대회의 문제 대회에서 가장 쉬운 문제들 중 하나였는데 생각보다 애를 많이 먹었다. MISC로 분류되어있었는데 포렌식쪽으로 봐도 상관없을듯 하다. 문제 설명에 보면 힌트가 적혀있는데 주어진 pcap 파일을 이용해서 문제를 풀 수 있고, 어떤 파일의 비밀번호는 6자리이며 첫번째 두 자리는 DE 라고 친절히 알려주고 있다. 문제에서 주어지는 파일은 Misc_Chowder.pcap 파일이다. pcap 파일은 Wireshark 프로그램을 이용해서 열어볼 수 있다. 패킷은 3000개 정도 있는데 이정도면 별로 많은편은 아니다. 천천히 내려보다보면 중간부터 HTTP 프로토콜을 이용해 /test/upload_file.php 경로에 jpg 파일을 업로드 하는것이 보인다. 와이어샤크에서 File -..

CTF를 통해 처음 경험해보는 유형의 네트워크 포렌식 문제였다. 문제 자체는 그렇게 어렵지 않고 신기하고 재미있었다. 문제 설명 부분이 뭔가 맘에 든다. Slience is gold. I listen to every move on this network. 네트워크 사용에 있어서 경각심을 빡 하고 주는 좋은 문구인거 같다. 문제파일로 주어지는것은 Chall.pcapng 파일이다. pcapng 파일은 Wireshark 라는 도구를 이용해 열어볼 수 있다. 와이어샤크로 열어보면 처음엔 이상한 알 수 없는 패킷들이 많이 보인다. 조금만 밑으로 내려서 22번 패킷으로 가면 문제 제목에 써있는 TACACS+ 라는 프로토콜로 통신한 흔적이 보인다. 처음 들어본 프로토콜이었는데, Terminal Access Contr..