[2021 화이트햇 콘테스트 본선] A-2 - 포렌식 / PPTP / SYSLOG

 

2021 화이트햇 콘테스트 본선에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다.

 

제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다.

 

A-2 문제는 지난 A-1 문제에서 이어지는 문제이다.

(https://hackingstudypad.tistory.com/610)

 

A-2
VPN 서버에 사용자가 최초로 접근한 시각과 아이피는 무엇인가?
(로그에서 확인할 수 있는 시간으로 답하시오)

 

A-2 문제는

 

VPN 서버에 사용자가 최초로 접근한 시각과

 

아이피를 찾는것이 목표이다.

 

이 이미지가 VPN 이었기 때문에

 

PPTP 와 관련된 로그를 찾아야겠다고 바로 판단했다.

 

PPTP는 Point to Point Tunneling Protocol 의 약자로

 

아주 오래된 VPN 프로토콜 중 하나이다.

 

PPTP와 관련된 로그는 /var/log 경로에 있는

 

syslog 에서 확인할 수 있다.

 

이번 문제 역시도 syslog 가 로테이트 되어서

 

옛날 로그가 다른 파일로 저장되어 있었고

 

여러 개의 파일 중 syslog.6 파일에서 흔적을 확인할 수 있었다.

 

 

cat syslog.6 | grep pptpd 로

 

PPTP 와 관련된 로그만 필터링 해서 확인은 했고

 

가장 빠른 연결 기록은

 

9월 23일 06:11:12 에

 

192.168.0.115 아이피 주소에서 connection started 되어있는것을 확인할 수 있다.

 

조금 헤맸던게

 

문제가 '사용자' 가 최초 접근한 시간인데

 

'공격자' 가 최초 접근한 시간인줄 알고

 

A-1 문제에서 나왔던 08:05:04 시간 전후로 로그를 찾다가 시간을 꽤 낭비했다.

 

아무튼 이번 문제의 플래그는

 

FLAG{2021_09_23_6_11_12_192_168_0_115} 이다.