[2021 화이트햇 콘테스트 본선] A-1 - 포렌식

 

2021 화이트햇 콘테스트 본선에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다.

 

제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다.

 

A-1
공격자가 웹페이지에 공격을 수행한 최초 시각과 당시 공격자 IP는 무엇인가?

 

A-1 문제는

 

공격자가 웹페이지에 공격을 수행한 최초 시각과

 

당시 공격자 IP를 찾는것이다.

 

 

Write up 다시 쓰려고

 

가지고 있던 이미지를 켰는데

 

리눅스 계정 비밀번호를 따로 메모해두지 않아서

 

로그인 할 수가 없었다..

 

퀄리티는 떨어지지만 대회 당시 캡쳐한 이미지를 사용할 수 밖에 없게 되었다..

 

문제에선 웹페이지에 대한 공격 흔적을 찾는 것이었기 때문에

 

Web Access.log 를 찾아보기로 했다.

 

해당 VPN 서버에서는 apache 웹 서버가 구동되고 있었다.

 

apache 웹 로그는 버전마다 다르긴 하지만

 

/var/log/apache2 에 저장되어 있다.

 

거기에 access.log 를 보면 되는데

 

서버에 있던 access.log 에서는 별다른 특이점을 발견할 수 없었다.

 

알고보니 로그가 쌓여 로테이트 되어서

 

옛날 로그가 다른 파일로 저장되어 있었는데

 

로테이트 된 파일 이름이 access.log.1 이었다.

 

 

access.log.1 파일을 cat access.log.1 | more 을 이용해

 

천천히 내리면서 내용을 살펴보니

 

../../../../../etc/passwd 페이로드를 이용해

 

파일 다운로드 또는 LFI 공격을 시도한 흔적이 보였다.

 

로그 크기가 그렇게 크지 않아서 금방 찾을 수 있었다.

 

따라서 이번 문제의 플래그는

 

해당 로그가 찍힌 시간과, 로그에 적힌 아이피를 합친

 

FLAG{2021_10_05_08_52_04_192_168_0_114} 였다.