보안맨

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/708) D-2 문제는 공격자가 무력화 한 도구를 실행하면 악성코드가 대신 실행되는데, 해당 악성코드가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 이전문제에서 난독화를 풀었던 파워쉘 코드를 사펴보면 http://15.165.18.103/gmae 에서 dd.exe 를 다운받아 무력화한 도구를 실행시켰을 때 dd.exe가 대신 실행되도록 하는것을 볼 수 있다. sysmon view를 이용해 sysmon 로그에서 dd.exe를 찾아준다. 상세내용을 확인해보면 최초 실행시각과 PID를 확인할 수 있다. 따라서 이번 문제의 플래그는 FLAG{1251..

SuNiNaTaS 에서 제공하는 여섯번째 문제 웹해킹 문제이다. 문제페이지에 들어가면 이런 간단한 게시판이 나온다. 첫번째 게시글인 Hint를 열어봤는데 suninatas 의 게시글을 읽으면 된다고 한다. 그래서 3번 게시글은 README를 읽으려고 봤더니 비밀번호가 걸려있는지 위와 같은 팝업이 떴다. 아래쪽에는 친절하게 비밀번호 조회하는 쿼리까지 남겨두었다. SQL 인젝션 문제라고 생각하고 가장 간단하게 ' or 1=1-- - 해봤는데 NO! hacking! 이라는 팝업이 떴다 몇번 더 시도해봤더니 = 이나 -, # 같은 특수문자에 필터링이 걸려있는듯 했다. ' 이나 or 같은 단어는 필터링이 걸려있지 않은것으로 보였다. = 를 대신할 수 있는 like 를 이용해서 위와 같이 쿼리를 날려주면 게시글의 ..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/706) D-1 문제는 공격자가 분석관의 분석 도구를 무력화시키기 위해 안티포렌식 기법을 적용하였는데, 이때 무력화 된 도구를 알파벳 순으로 나열하는것이 목표이다. 이번문제는 C-1 에서 나왔던 파워쉘 스크립트를 이용해 해결할 수 있다. C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine 경로에 ConsoleHost_histroy.txt 파일내에서 해당 로그를 찾을 수 있었고 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.E..

SuNiNaTaS 에서 제공하는 다섯번째 문제 웹해킹 문제이다. 문제페이지에 들어가면 이런 화면이 나온다. 뭔가 키값을 맞춰야 하는듯 하다. F12를 눌러 개발자도구를 확인해 봤다. eval 로 난독화된 자바스크립트 코드와 주석처리된 힌트가 보였다. 일단 난독화를 풀어봤다. https://lelinhtinh.github.io/de4js/ de4js JavaScript Deobfuscator and Unpacker lelinhtinh.github.io 난독화는 위 사이트에서 풀 수 있다. eval 코드를 복사 붙혀넣기 하면 이렇게 난독화가 해제된 자바스크립트를 확인할 수 있다. 그렇게 복잡해 보이지는 않는 코드인데 살짝 헷갈린다. 이럴땐 그냥 실행시켜 보면 된다. 개발자 도구의 콘솔 탭으로 가서 자바스크립..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/703) C-2 문제는 공격자가 탐지를 회피하기 위해 MAC 타임을 수정했는데, 이를 위해 스크립트가 최초 실행된 시각과 powershell 의 PID를 찾는것이 목표이다. sysmon view 도구를 이용해서 sysmon 로그를 분석해 powershell 실행이력을 찾았다. 그 중 하나에서 Base64 인코딩된 파워쉘 스크립트를 실행시킨 흔적을 볼 수 있었다. $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

SuNiNaTaS 에서 제공하는 네번째 문제 웹해킹 문제이다. 문제 페이지에 접속하면 이런 화면이 나온다. 포인트가 적혀있는 상자가 하나있고 아래쪽엔 User-Agent 라고 적혀있다. 아무래도 http request 헤더 중 하나인 User-Agent 의 값을 바꿔야 하나보다. F12를 눌러 개발자도구를 확인해보니 힌트가 있었다. 포인트를 50으로 만들고 User-Agent 값을 SuNiNaTaS 로 바꾸면 되는듯 하다. User-Agent는 버프스위트 같은 도구로 바꿀수도 있지만 크롬 확장프로그램을 이용해도 된다. ModHeader 라는 프로그램을 사용하면 된다. 설치도 아주 간단하다. 설치하면 크롬 맨 위에 아이콘이 생기는데 그걸 열어서 이렇게 원하는 값으로 적어주면 된다. User-Agent 값을..

SuNiNaTaS 에서 제공하는 세번째 문제 웹해킹 문제이다. 문제 페이지에 들어가면 이런 그림이 나온다. Write articles in Notice Board 라고 적혀있는데 처음엔 이 페이지 안에서 해결하는 줄 알고 한참 찾았었다. 알고보니 Suninatas 홈페이지의 진짜 공지사항 게시판에 글을 쓰라는 것이었다. 당연하게 공지사항 게시판은 일반 유저가 글쓸 수 있는 권한은 없다. 뭔가 취약점을 찾아야 하는데 힌트를 얻기위해 자유게시판으로 가봤다. 여기엔 Write 버튼이 있다. 버튼을 누르면 /borad/free/write 경로로 이동된다. 그럼 notice 도 똑같은 구조일거라 생각했다. 공지사항 페이지에서 URL 뒤에 write 를 붙혀적으면 공지사항을 작성할 수 있게 된다. 아무 글이나 작성..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-5 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/701) C-1 문제는 공격자가 두번째 호스트로 이동하기 위해 PC에 생성한 작업의 이름을 찾는것이 목표이다. 침해사고 당한 Win10 이미지를 조사하다가 C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine 경로에 ConsoleHost_histroy.txt 파일을 찾았다. 해당 파일은 파워쉘 명령어 실행 기록이 저장되는데 열어서 내용을 확인해보니 Base64 인코딩된 파워쉘 명령어들을 찾을 수 있었다. $base64EncodedString = "여기에_Base64_문자열_입력";..

SuNiNaTaS 에서 제공하는 두번째 문제 이젠 정말 웹해킹 스러운 문제이다. 문제페이지에 접속하면 이런 화면이 나온다. 시험삼아 admin / admin 이라고 입력해 봤는데 틀렸다는 알람창이 뜬다. F12를 눌러 개발자도구를 확인해 봤다. 사용자가 입력한 ID 와 PW는 각각 id 와 pw에 저장이 되고, 만약 id와 pw가 똑같은 값일 경우 방금 봤던 알람창이 뜨는 것이었다. 그리고 나서 id 와 pw 값을 초기화 해버리는데 만약 여기서 초기화 시키지 않고 else 에 있는 submit() 이 실행되면 다른 결과가 나올 것 같았다. 아까처럼 동일하게 admin / admin 을 입력해주고 개발자 도구의 콘솔 탭에서 document.web02.submit(); 이라고 쳐주면 플래그를 찾을 수 있다.

[B-5] 해당 가상머신의 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트는? 플래그 형식은 FLAG{IP_PORT} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/699) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. B-5 문제는 침해사고를 당한 Windows10 이미지에서 동작하는 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트를 찾는것이 목표이다. 사실 이건 지난 B-4 문제를 풀면 바로 해결할 수 있는데 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석하면 목적지 주소가 15.165.18.103 인 곳으로 계속 통신이 이루어..