보안맨

2020년에 진행되었던 국정원 주최 사이버공격방어대회 묵혀놨던 Write Up을 이제야 포스팅 해 본다. 이번에 풀이할 문제는 Web Log 이다. 문제 제목처럼 정직하게 Web Access Log를 분석하는 문제이다. 문제파일로 access.log 파일이 주어진다. 파일 크기가 63.1MB로 꽤 크다.. 실제로 Subline Text를 이용해 파일을 열어보면 305,077개의 로그가 있는것을 볼 수 있다. 여기저기 스크롤 옮겨가며 둘러보다가 265,847번째 줄에서 특이한 로그를 발견했다. /image_view.php?idx=1 and if(ascii(substr((select flag from flag),1,1))=32, (select 1 union select 2), 0) URL로 이렇게 요청을 하..

CTFlearn의 서른세번째 문제 이제부턴 풀이수가 3000대로 떨어졌다. 문제 자체는 어렵지 않은데 아마 여기까지 도전하는 사람이 없기 때문일것 같다. 이 문제는 새로운 유형이 아니다. https://hackingstudypad.tistory.com/266 https://hackingstudypad.tistory.com/288 기존에 포스팅했던 이 두 문제와 아주 유사하다. 거의 똑같다고 보면 된다. 문제 설명을 읽어보면, jpeg 파일에 포함된 방정식을 풀어서 플래그를 찾으라고 한다. 그리고선 math.jpg 파일이 제공되는데, math.jpg 파일을 열어보면 이런 사진이 들어있다. 복잡한 방정식이 보이는데 당연하지만 이걸 계산하는 문제는 아니다. HxD 라는 도구를 실행시켜, 문제파일을 드래그 앤 ..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Packet 문제에서는 세 가지 파일이 주어진다. client.py / server.py / simple_packet.pcapng 파일이다. #!python3 from socket import * import sys def do_xor(data): key = b"\x10\x07\x19" return bytearray([data[i] ^ key[i%3] for i in range(len(data))]) if len(sys.argv) != 2: print('[-] usage : {}..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Memory 문제 문제 제목처럼 간단한 메모리 포렌식 문제였다. 문제파일로는 mem.raw 파일이 주어진다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatility Foundation Volatility releases are the result of significant in-depth re..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Keyboord 문제에서는 keyboord.pcap 라는 이름의 파일이 제공된다. pcap 파일은 Wireshark 라는 도구를 이용해 열어볼 수 있다. Wireshark로 열어보면 이련 화면이 나온다. Protocol 에 USB 라고 적혀있고, 문제 제목이 Keyboord 인것으로 유추해 볼 때 이 패킷은 USB 키보드를 사용한 통신 흔적인것을 알 수 있다. 와이어샤크로 USB 키보드 데이터를 분석할 때 눈여겨 봐야하는 부분은 Info 부분이 URB_INTERRUPT in 이라고 되어있는 ..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. 그중 Simple Carv 문제 disk.img 파일이 주어진다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Shark Me 문제 알려지지 않은 해커가 비밀문서를 유출했다고 한다. 유출된 파일을 찾는것이 목표이다. 문제파일로 sharkme.pcapng 파일이 주어진다. 해당 파일은 Wireshark 라는 도구로 열어볼 수 있다. Wireshark로 열어보면 이렇게 패킷을 주고받은 내용을 볼 수 있다. 패킷이 16121개로 그냥 보기엔 좀 많아서 메뉴의 Statistics - IPv4 Statistics - Destinations and Ports 버튼을 눌러 대략적인 내용을 살펴보았다. 조금 내려보..

CTFlearn의 서른한번째 문제 이번에는 Medium 난이도의 포렌식 문제이다. 이제부턴 점점 Easy 난이도의 문제 비중이 줄어들고 있다. 문제를 풀고나니 눈에 들어오는게, 이 문제의 작성자가 hazzy 라는 아이디를 가진 사람인데, 작성자 이름이 아주 큰 힌트였다. 주어진 주소로 접속하면, flag (4) 라는 이름의 파일을 다운받을 수 있다. 문제 설명에도 쓰여있는데 이 flag (4) 파일을 HxD로 열어보면 패킷 덤프 파일인것을 확인할 수 있다. 이런 패킷 덤프 파일은 Wireshark 라는 도구로 열어볼 수 있다. 와이어샤크를 실행시켜서 파일을 드래그 앤 드롭하면 이렇게 패킷을 볼 수 있다. 1번 패킷부터 뭔가 UDP로 데이터를 잔뜩 전송하는 모습이 보인다. 자세히 보기위해 UDP 패킷에서 ..

CTFlearn 의 스물아홉번째 문제 포렌식 카테고리의 문제인데 이제까지 나온 포렌식 문제가 뭔가 새롭다기 보단 기존 문제에서 조금씩만 바꿔서 올린듯한 느낌이다. 뭔가 팍팍 난이도가 올라가면 좋겠는데 그렇지 않아서 좀 지루한 느낌이 든다. https://hackingstudypad.tistory.com/266 [CTFlearn] Rubber Duck - 포렌식 / HxD / Strings CTFlearn 의 스물세번째 문제 이전까지 계속 30 ~ 60 점짜리 문제가 나오다가 갑지가 10점으로 점수가 확 떨어졌다. 잠깐 쉬어가는 느낌인듯 하다. CTFlearn 완전 초반에 풀었던 문제중에 이 문제랑 비 hackingstudypad.tistory.com 이전에 포스팅했던 이 문제와 똑같은 방법으로 풀이가 가..

CTFlearn 의 스물여덟번째 문제 이번엔 Medium 난이도의 포렌식 문제이다. 문제에서 주어진 주소로 접속해보면 이렇게 오레오 하나 가 있는 사진을 다운받을 수 있다. HxD 프로그램을 이용애 oreo.jpg 파일을 열어보면 맨앞이 FF D8 FF E0 로 시작하는걸 볼 수 있다. 이렇게 파일 맨 앞에 써있는걸 파일 시그니처 라고 하는데 FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. JPG 파일의 또다른 특징은 끝날때 무조건 FF D9 로 끝난다는 것이다. HxD 에서 ctrl + f 를 눌러 FF D9 를 검색해서 찾아가보면 FF D9에서 파일이 끝나지 않고, 뒤에 데이터가 더 있는것을 볼 수 있다. 사진파일 뒤에 데이터가 더 숨어있는 것이다. 맨 앞에 적혀있는게 Rar! 인것을 ..