보안맨

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. D-1 공격자가 Windows PC에 초기 접근 시 사용한 도구와 접속 정보에 대해 답하시오 이번 문제는 윈도우 시스템에 공격자가 초기 접근 시 사용했던 도구와 접속 정보를 찾는 것이다. 윈도우 이미지를 실행시켜 보면 랜섬웨어 흔적으로 가득했던 예선과 달리 깔끔한 바탕화면을 볼 수 있다. 예선과 같이 C: 아래 Logs 폴더가 있고 그안에 Wireshark 패킷 캡..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다. 제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다. C-1 문제는 지난 B-2 문제에서 이어지는 문제이다. (https://hackingstudypad.tistory.com/616) 그리고 이번 문제가 리눅스 환경에서 해결하는 마지막 문제이다. C-1 백도어의 경로와 공격자가 백도어를 통해 연결하고자 하는 공격자 서버의 아이피와 포트는 무엇인가?..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다. 제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다. B-2 문제는 지난 B-1 문제에서 이어지는 문제이다. (https://hackingstudypad.tistory.com/614) B-2 공격자가 VPN 서버에 침투한 이후 권한 상승을 통해 방화벽을 무력화 한 시각과 사용된 명령은 무엇인가? B-2 문제는 공격자가 VPN 서버에 침투해서 권한 ..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다. 제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다. B-1 문제는 지난 A-2 문제에서 이어지는 문제이다. (https://hackingstudypad.tistory.com/612) B-1 공격자가 VPN 서버의 SSH 계정 탈취에 성공한 최초 시각은 언제인가? B-1 문제는 공격자가 VPN 서버의 SSH 계정 탈취에 성공한 최초의 시각을 찾는것..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다. 제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다. A-2 문제는 지난 A-1 문제에서 이어지는 문제이다. (https://hackingstudypad.tistory.com/610) A-2 VPN 서버에 사용자가 최초로 접근한 시각과 아이피는 무엇인가? (로그에서 확인할 수 있는 시간으로 답하시오) A-2 문제는 VPN 서버에 사용자가 최초로 접..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다. 제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다. A-1 공격자가 웹페이지에 공격을 수행한 최초 시각과 당시 공격자 IP는 무엇인가? A-1 문제는 공격자가 웹페이지에 공격을 수행한 최초 시각과 당시 공격자 IP를 찾는것이다. Write up 다시 쓰려고 가지고 있던 이미지를 켰는데 리눅스 계정 비밀번호를 따로 메모해두지 않아서 로그인 할 수가..

이번엔 랜섬웨어에 관련된 문제이다. 랜섬웨어 악성코드인 cce_ransom.exe 랜섬노트인 cce_ransom_note.txt 그리고 그 아래 확장자가 .pdf_cce_ransom 으로 암호화된 파일들이 보인다. 랜섬노트를 열어 내용을 읽어본다. 파일들은 랜덤한 키를 기반으로 xor 암호화 되었다고 한다. 친절하게 두가지 풀이방법을 안내하는데 무차별 대입을 해서 기적적으로 암호화 키를 찾아내거나 암호화의 취약점을 이용해서 해결을 하면 된다고 한다. 조금만 생각해보면 아주 간단하게 해결할 수 있다. A XOR B = C 라면 C XOR B = A 가 되기 때문에 암호화된 파일을 똑같은 키로 한번 더 XOR 암호화 한다면 사실 복호화가 되는 것이다. 이렇게 암호화된 flag.pdf_cce_ransom 파일..

2021CCE에 출제된 포렌식 문제 이번에도 기본에 충실하라는 내용을 담고 있다. 시스템 이벤트 로그 분석을 하는 문제이다. 문제에서 주어지는 log.evtx 파일은 Sysmon 이벤트 로그를 담고 있다. https://hackingstudypad.tistory.com/571 [2021 화이트햇 콘테스트] B-2 - 포렌식 / Sysmon View 2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 hackingstudypad.tistory.com Sysmon 이벤트 로그에 대해서는 지난 화이트햇 콘테스트 문제 풀이에서 많이 다뤄서 넘어간다. 로그는 많이 없어서 조..

2021CCE에 출제되었던 웹해킹 문제 게시판 기능에서 발생하는 전형적인 정보 노출 취약점에 대해 다루고 있다. 문제 소스는 따로 없고 문제 페이지 주소만 주어진다. 문제페이지에 접속하면 간단한 게시판 형태가 보인다. admin 이 뭔가 글을써놨는데 Pernission이 ALL 인것과 hacker 인것 두개가 나눠져 있다. All 게시물은 그냥 내용을 읽을 수 있는데 hacker 게시물은 권한이 없어 읽을수가 없다. 이 게시물 안에 문제의 플래그가 숨어있다. 이 게시판의 취약점은 내용 기반 검색을 하는데, 검색시에는 권한을 필터링하지 않는다는 것이다. cce 라고 검색하면 hacker 권한 게시물인 2, 4, 6번 게시글의 내용에 cce 라는 내용이 있기 때문에 저렇게 결과가 나오는 것이다. 저런식으로 ..

2021CCE에 출제된 암호학 문제 이번 문제에서도 역시 기초에 대해 언급한다. 이렇게 기초를 좋아했던 CCE인데 2022년 부턴 대회 난이도가 엄청나게 올라가서 좀 아이러니하다. 문제 제목부터 딱 봐도 XOR과 관련된 문제이다. 같이 제공된 압축파일의 압축을 풀면 Bg0PXUlMTx46AgYKIRcWMR4HHCENDAMaAxwNCjoBBAomPRELCRgODQ1fGA== 이런 암호문이 주어진다. key="???????" flag="cce2021{??????????????????????????????????}" def encrypt(plain): res="" for _ in range(len(plain)): res+=chr(ord(key[_%7])^ord(plain[_])) return res open(..