보안맨

2022 화이트햇 콘테스트 본선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 드랍퍼가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 본선에서는 prob_a, prob_b 두개의 win10 침해사고 이미지가 주어졌고 이번 문제는 prob_a 문제를 이용해 해결할 수 있었다. 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 문제에서 정상 프로그램으로 위장한 악성 프로그램이라고 해서 뭔가 사용자를 속여 다운로드 받게끔 했을것이라 생각했다. 실제로 다운로드 폴더에 들어가보면 뭔가 정상 파일처럼 보이는 설치파일들이 들어있는것을 확인할 수 있다. 정확히 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 H-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/681) H-2 문제는 공격자가 스크린 캡처, 클립보드 데이터 유출 시 secure shell 을 활용했는데, 이 때 공격자가 파일을 업로드한 서버의 계정 및 암호를 찾는것이 목표이다. 사실 이번 문제는 거의 공짜로 주는 문제였다.. 이전 문제에서 이미 다 답을 구해놨기 때문.. 위 파워쉘 스크립트들이 스크린 캡쳐, 클립보드 데이터를 유출하는 내용인데 공통적으로 들어가 있는 이 부분을 보면 된다. pscp.exe 를 이용해 원격지인 192.168.35.85로 데이터를 유출하는데 -pw 옵션으로 알 수 있듯이 비밀번호는 l@2@ruz!! 이고 서버 계정..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 G-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/679) H-1 문제는 공격자가 스크린 캡쳐를 위해 사용한 스크립트에서 플래그를 획득하는 것이 목표이다. 지난 문제에서 위와 같이 스크린 캡쳐하는 파워쉘 스크립트를 찾았었다. pscp.exe를 이용해 C2 서버로 데이터를 전송하는데 스크립트 중간에 보면 뭔가 수상한게 껴있다. 바로 이 부분인데 어떤 숫자들이 있고 $xorkey 에는 77이 정의되어 있다. 뭔가 XOR을 해야할것 같은 느낌이다. CyberChef(https://gchq.github.io/CyberChef) 에서 해당 값을 디코딩 해준 뒤, 77로 XOR하고, 역순으로 배열해주게 되면 숨..

스테가노그래피 카테고리에 분류된 Root Me에서 제공하는 Easy 난이도의 문제 어떻게 보면 어려울 수 있는데 방법을 알고나면 아주 쉬운 문제이다. 풀이수가 문제의 난이도를 증명해 주고 있다. 문제에서 주어지는 것은 journal.jpg 파일이다. 뭔가 프랑스어 처럼 보이는 말로 길게 써있는데 일단 내용은 무슨뜻인지 모르겠다.. 문제의 제목인 "Dot and Next line" 이 가장 큰 힌트이다. 그림 속 문장에 있는 점(dot) 들을 이용해 문제를 풀어주면 된다. Next line 이라 되어있어서 점이 나온 후 그 다음 줄을 어떻게 하는것이라 생각할 수 있는데 그렇게 되면 마지막 점에서 할게 없어져버린다. 여기서는 위 그림과 같이 점이 있는 위치 바로 위에 있는 알파벳을 읽어주면 된다. 각 점 위..

Root Me 에서 제공하는 쉬운 난이도의 스테가노그래피 문제 문제에서 제공되는 것은 ch3.wav 파일이다. 해당 파일을 재생해보면 삐리삐리빅 하면서 이상한 알 수 없는 소음이 들린다. 사실 이 문제는 스펙토그램 같이 wav 파일 스테가노그래피 같은 형태가 아니라 단순히 wav 파일 속도와 재생방향만 조작하면 해결할 수 있다. https://twistedwave.com/online TwistedWave Online Audio Editor TwistedWave is a browser-based audio editor. You only need a web browser to access it, and you can use it to record or edit any audio file. twistedwav..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/673) F-4 문제는 공격자가 피해 호스트에서 유출한 정보에서 플래그를 획득하는 것이 목표이다. 처음엔 피해 호스트에 주기적으로 뜨는 CMD 창에서 힌트가 있다고 생각해 여기 있는 파일들을 위주로 살펴봤는데 아니었다. 한참 헤매다가 C:\Users\Kang\AppData\Roaming\Microsoft\Windows\Recent 경로를 살펴보니 flag.txt 파일이 있는게 보였다. 눌렀더니 .lnk 파일인듯 바로가기가 올바르지 않다고 한다. 그래서 우클릭 - 속성에 들어가 봣는데 C:\Users\Kang\Downloads\flag.txt 경로에 원..

Root Me에서 제공하는 간단하고 재밌는 암호학 문제 문제 설명을 보면 어떤 트윗이 약속장소를 숨기고 있는것 처럼 보인다고 한다. Ｃhｏose a jοｂ yоu lονｅ, and you ｗіｌl ｎeｖｅｒ have tο ｗｏrk a day in yοur lіfｅ． 이게 문제에서 제공된 트윗인데 딱 봐도 뭔가 이질감이 드느게 몇몇 글자들이 크기가 조금 다른것을 볼 수 있다. 문제 제목아래 써있는 homoglyph 를 검색해 봤는데 동형문자라고 한다. 간단하게 똑같이 생겼는데 다른 문자라고 이해하면 되는것 같다. 그래서 처음에는 저 트윗에 있는 이질감이 드는 문자들이 모두 동형문자이고, 이것들을 모으면 숨겨진 장소가 나오는줄 알았다. https://holloway.nz/steg/ Twitter Secret..

Root Me 에서 제공하는 암호학 문제 아주 간단한 문제인데 생각보다 풀이수가 작고 난이도도 노란색으로 표시되어 있다. 문제 설명을 보면 적으로부터 획득한 암호문을 해독해야 하는 상황인듯 하다. 문제에서 제공된 링크로 들어가면 이렇게 간단한 문장 하나면 적혀있다. 그냥 봐선 이게 영언지 뭔지 도무지 알 수 없는 문장이다. Wnb.r.ietoeh Fo"lKutrts"znl cc hi ee ekOtggsnkidy hini cna neea civo lh 문제 설명에서 힌트를 준것처럼 이 문장은 Rail Fence Cipher 로 암호화 된 것이다. CyberChef(https://gchq.github.io/CyberChef) 에 가면 Rail Fence Cipher 를 디코딩 해주는 레시피가 있다. 처음에 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/667) F-1 문제는 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서 플래그를 획득하는 것이 목표이다. 이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다. E-3 에서 gametime.dll 이 실행되는 것을 확인했었다. 바탕화면 Log 폴더에 제공되어 있는 1.pcapng 파일을 wireshark 로 열어보면 중간쯤에서 http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 MZ 헤더로 시작하는 파일을 다운로드 받은것..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 보면 플래그가 그림으로 그렸는데, 점들을 이어서 찾을 수 있냐고 물어본다. 어릴때 많이 했던 점선잇기 같은 느낌이다. 문제에서 주어지는 것은 secret_map.txt 파일이다. 16진수가 두개씩 적혀있는데 map 이라는걸 보니 이어야 할 점들의 좌표인듯 하다. python을 이용해 그림을 그려본다. import pygame def main(): pygame.init() background = pygame.display.set_mode((2700, 200)) while True: ev = pygame.event.poll() if ev.type =..