[2021 화이트햇 콘테스트] H-1 - 포렌식 / Wireshark / Certutil

 

2021 화이트햇 콘테스트 예선전에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.

 

H-1 문제는 이전 G-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/583)

 

H-1
공격자가 최초로 파일을 유출한 시각과 해당 파일의 해시를 구하시오

 

H-1 문제는

 

공격자가 최초로 파일을 유출한 시각과 

 

그 파일의 해시값을 구하는것이 목표이다.

 

 

지난 G-1 문제에서

 

Sysmon 로그를 통해 

 

34.123.161.169의 80번 포트로 TCP 연결이 이루어진 흔적을 확인했었다.

 

80번 포트는 HTTP 포트이기 때문에

 

웹을 통해서 뭔가 전송되었을거라고 판단했다.

 

또한, 파일이 전송되었다면

 

POST 메소드를 이용해 전송되었을 가능성이 높다고 생각했다.

 

 

주어진 이미지에서

 

C:\Logs 에 있는 C.pcapng 에서 흔적을 찾을 수 있었다.

 

 

해당 파일을 Wireshark 로 열어

 

필터 부분에

 

http.request.method == POST 라고 입력해 필터를 걸어주면

 

34.64.143.34 주소에 3000번 포트로 뭔가 전송이 많이 된것을 볼 수 있다.

 

새로운 주소가 갑자기 나온것 같지만

 

 

해당 주소와 포트는

 

G-1 의 Sysmon 로그에서 확인했었다.

 

34.123.161.169:80 에 접속한 뒤,

 

34.64.143.34:3000 으로 연결이 맺어졌다.

 

 

첫번째 패킷에서

 

우클릭 - Follow - HTTP Stream 해서 확인해보니

 

 

POST 메소드로 .hwp 파일을 전송한 흔적을 찾을 수 있었다.

 

글자가 안보이는건 한글이라 깨진듯 하다.

 

 

해당 패킷에서

 

Data 부분을 우클릭 해서

 

Export Packet Bytes 로 raw 값을 복사한 뒤

 

HxD 같은곳에 붙혀넣어 파일로 저장하고

 

 

certutil -hashfile <파일명> sha1 으로 

 

해시값을 구해주면 된다.

 

 

시간정보 역시 Wireshark 에서 바로 확인 가능하다.

 

따라서 이번 문제의 플래그는

 

FLAG{2021_09_09_05_53_40_6b2f8c8bf30308cb5858c896b9e1253e40697b8d} 가 된다.