보안맨

네트워크 패킷과 관련한 포렌식 문제 제목이 문제의 힌트였다. 문제에서 주어지는 것은 WhoCanHazFlag.pcapng 파일이다. .pcapng 파일은 Wireshark 라는 도구로 열어볼 수 있다. Wireshark 로 열어보면 이런 화면이 나온다. DNS, UDP 패킷부터 HTTP, OCSP, TLS 등등 다양한 프로토콜의 패킷이 약 900개 정도 캡쳐되어 있다. 문제는 어떤 패킷을 골라서 봐야하냐는 것인데 아까 언급했듯이 문제 제목이 힌트였다. 패킷 중에 Who has 라는 문구를 가진 패킷이 있따. ARP 패킷인데 Address Resolution Protocol 으로 네트워크 상에서 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 이 패킷의 맨 뒷부분을 보면 flgD..

MISC 로 분류된 문제인데 포렌식 쪽으로 분류해도 될것 같다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제에서 주어지는 파일은 admiral_shark.pcapng 이다. Wireshark로 pcapng 파일을 열어볼 수 있다. 조금 내리다보니 TCP 패킷이 보여서 우클릭 - Follow - TCP Stream 을 해보았다. TCP Stream 의 내용을 보니 뭔가 비밀 데이터를 주고받는 느낌이었다. 조금 더 밑으로 가다보니 패킷 Length 가 다른것보다 큰 패킷이 보여서 해당 패킷을 똑같이 우클릭 - Follow - TCP Stream 을 해보았다. 대충 살펴보니 뭔가 압축된 파일인것 같았다. 일단 해당 데이터의 Show data as 를 Raw 로..

네트워크 패킷 분석과 관련된 포렌식 문제이다. 이전에도 블로그에서 비슷한 유형의 문제들을 다룬적이 있었다. 찾아보니 작년 Space Heroes CTF 에서도 비슷한 문제가 나왔었다. (https://hackingstudypad.tistory.com/88) 문제에서 주어지는 것은 chall.jpg.pacp 파일이다. Wireshark로 pcap 파일을 열어볼 수 있다. Wireshark 로 해당 파일을 열어보면 이렇게 수많은 ICMP Echo request 패킷이 보인다. 갯수를 새어보니 239,351개였다. 첫 4 패킷의 데이터만 보고 어떻게 풀어야 하는지 알 수 있었다. 첫번재 패킷의 경우 패킷의 맨 끝 data.data 부분이 ff 인것을 볼 수 있다. 두번째 패킷은 d8 이고, 세번째 패킷은 ff..

쉬운 난이도의 네트워크 패킷 포렌식 문제 파일 하나로 세 개의 문제를 푸는 방식이다. 문제에서 주어지는것은 hack3rm4n_exp0sed.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금 내리다 보면 98번 패킷에서 Welcome to Pure-FTPd 라는 문구가 보인다. FTP 프로토콜을 이용해 어떤 파일같은걸 전송하려는듯 하다. 조금 내려가다보면 144번째 패킷부터 supersecure.7z 파일을 전송하고 있는것이 보인다. 해당 패킷을 우클릭 - Follow - TCP Stream 을 눌러서 확인해보면 이렇게 전송되는 Raw 데이터를 확인할 수 있다. 아래쪽에서 Show data as 를 Raw 로 설정해준 뒤 ..

쉬운 난이도의 네트워크 패킷 포렌식 문제 파일 하나로 세 개의 문제를 푸는 방식이다. 문제에서 주어지는것은 hack3rm4n_exp0sed.pcapng 파일이다. pcapng 파일은 Wireshark 도구를 이용해 열어볼 수 있다. 열어보면 위와 같은 화면이 나온다. 조금 내리다 보면 98번 패킷에서 Welcome to Pure-FTPd 라는 문구가 보인다. FTP 프로토콜을 이용해 어떤 파일같은걸 전송하려는듯 하다. 조금 더 내려서 313, 314 번째 패킷을 보면 FTP-DATA 로 butter.jpg 파일을 전송하는 것이 보인다. 해당 패킷을 우클릭 - Follow - TCP Stream 을 눌러서 확인해보면 이렇게 전송되는 Raw 데이터를 확인할 수 있다. 파일 앞쪽에 JFIF 라는 문구가 보이는..

MISC 카테고리에 있던 문제 포렌식으로 분류해도 될 것 같다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 읽어보면 친구에게 UDP 를 이용해 플래그를 한글자씩 보내고 있었는데 누군가가 이상한 데이터를 보내서 망쳐놨다고 한다. RFC 3514 와 관련있을거 같다는 힌트가 같이 주어진다. RFC 3514 가 뭔지 궁금해서 구글에 검색해봤다. 위키피디아 문서가 하나 나오는데 Evil bit 이라는 제목이다. IPv4 패킷 헤더에 추가되는 만우절에 만들어진 뭔가인듯 하다. 일단 여기까지만 대충 보고 문제 파일로 바로 들어갔다. 먼저 주어진 EBE.pcap 파일을 Wireshark 를 이용해 열어보았다. 10.0.1.10 에서 10.0.1.5 로 보내는..

CTFlearn 의 마흔한번째 문제 이번에는 네트워크 패킷 포렌식 문제이다. 뭔가 문제 설명이 길게 적혀있다. 문제 설명을 읽어보면 라우터에 접근해야하니 네트워크 패킷을 통해 비밀번호를 알아내라고 한다. 친절하게 힌트도 적혀있는데 1. 누군가 비밀번호를 이용해서 벌써 로그인을 했다. 로그인 데이터는 어디에 있나? 2. 플래그를 찾았는데 동작하지 않는다면 암호화 됐다고 생각해봐라 라고 적혀있다. 참고해서 문제를 풀어보자 문제에서 주어지는 것은 data.pcap 파일이다. pcap 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 조금 내리다 보면 40번 패킷에서 웹으로 /index.html 경로에 접근한 흔적이 보인다. 해당 패킷을 자세히..

Root Me의 다섯번째 네트워크 패킷 포렌식 문제 이번엔 블루투스와 관련된 문제이다. 문제설명을 읽어보면 NSA 에서 근무하는 친구가 해커의 컴퓨터에서 읽을 수 없는 파일을 찾았는데, 알 수 있는 정보는 오로지 컴퓨터와 휴대폰 사이의 통신이라고 한다. 정답은 MAC 주소와 휴대폰 이름을 합한것의 SHA-1 해시값이라고 한다. 아래쪽에 친절하게 정답 예시도 보여주고 있다. 문제에서 주어진 파일은 ch18.bin 파일이다. 일단 네트워크 패킷 포렌식에 관련된 문제이고, 또 문제 설명에서 컴퓨터와 휴대폰 사이의 통신을 언급했으므로 Wireshark 프로그램을 이용해서 파일을 열어본다. 와이어샤크 실행 후 ch18.bin 파일을 드래그 & 드롭 하면 위처럼 패킷 내용이 잘 보이게 된다. 패킷 총 갯수가 27개..

Root Me에서 제공하는 네트워크 패킷 포렌식 네번째 문제 이번 문제는 Twitter 인증정보와 관련이 있다. 물론 문제를 위해 일부러 취약하게 만들어 놓은거지 실제 트위터가 이렇게 취약하진 않다. 문제의 목표는 캡쳐된 트위터 인증 세션에서 유저의 비밀번호를 찾아내는 것이다. 문제에서 주어지는것은 ch3.pcap 파일이다. pcap 파일은 와이어샤크 라는 도구를 이용해서 열어볼 수 있다. (설치링크 : https://www.wireshark.org/download.html) Wireshark 도구를 이용해 ch3.pcap를 열어보면 패킷이 딱 하나 있다. 네트워크 패킷 포렌식 문제를 풀면서 이렇게 친절한 문제는 처음봤다... 감동.. (보통은 수천 수만개 패킷 사이에서 의심되는 패킷을 찾는 방식이다.)..

Root Me의 세번째 네트워크 포렌식 문제 처음 문제를 딱 보고 나서 조금 생소할수도 있겠다고 느꼈는데 생각보다 많은 사람들이 풀었다. 문제의 목표는 confidential data 를 찾는것이다. 문제 파일로 주어지는건 ch12.txt 파일이다. ch12.txt 파일의 내용을 보면 위처럼 16진수 숫자들이 적혀있는것을 볼 수 있다. 일단 저렇게 써있으면 알아볼 수가 없으니 가독성을 위해 ASCII 값으로 바꿔보았다. 디코딩하는데는 HxD 라는 도구를 이용했다. ch12.txt 파일의 값을 복사한 뒤 HxD에 그대로 붙여넣기 하면 오른쪽에 디코딩된 텍스트가 나오게 된다. GET 메소드를 사용해 웹에 접속한 흔적이 보이는데 중간에 Authorization: Basic Y29uZmk6ZGVudGlhbA==..