보안맨

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. H-1 문제는 이전 G-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/583) H-1 공격자가 최초로 파일을 유출한 시각과 해당 파일의 해시를 구하시오 H-1 문제는 공격자가 최초로 파일을 유출한 시각과 그 파일의 해시값을 구하는것이 목표이다. 지난 G-1 문제에서 Sysmon 로그를 통해 34..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. G-1 희생자 PC에 명령 및 제어 목적으로 통신이 맺어진 시각은 언제이며 이 때 공격자 아이피와 희생자의 Local Port는 무엇인가? G-1 문제는 희생자 PC에 통신이 맺어진 시각, 그리고 그때의 공격자 IP 주소와 희생자의 Port를 찾는 것이다. 이번 문제를 풀때는 B-2 문제와 같이 Sysmon 로그를 사용했다. (https://ha..

CTFlearn에서 제공하는 프로그래밍 카테고리의 Hard 난이도 문제 이번 문제는 Hard 치고는 쉬운 편이다. 카테고리도 프로그래밍 보단 스테가노그래피에 가까운것 같다. 문제에서 주어지는 것은 1.png, 2.png 두 개의 파일이다. 이전에 블로그에서 유사한 문제를 다룬적이 있었는데 거의 그대로 하면 된다. (https://hackingstudypad.tistory.com/125) 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL impor..

[2021 화이트햇 콘테스트] H-1 - 포렌 2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. F-1 문제는 이전 E-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/581) F-1 랜섬웨어로 암호화된 hwp 파일을 복호화 하여라 이번 문제는 랜섬웨어 악성코드로 암호화된 hwp 파일을 복호화 하는 문제였다. 이미지 내에 있는 수많은 암호화된 파..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. E-1 문제는 이전 D-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/580) E-1 랜섬웨어 악성코드를 다운로드 하는 URL은 무엇인가? E-1 부턴 윈도우 이미지에서 가장 먼저 눈에 띄었던 랜섬웨어 악성코드에 대해 조사한다. 랜섬웨어를 다운로드 하는 URL을 찾는 것인데 지난번 D-1 문제에..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. D-1 문제는 이전 C-3에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/578) D-1 자동 실행 악성코드가 추가 페이로드를 다운로드 받는 아이피와 파일 경로는 무엇인가? D-1 은 자동 실행 악성코드가 추가 페이로드를 다운받는 서버 주소와 해당 파일의 경로를 찾는 문제이다. 자동 실행 악성코드는..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-3 문제는 이전 C-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/577) 지난번 문제에선 hwp 파일의 postscript 를 분석해 \\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 에 IIsExt.vbs 파일이 생성된다는 것을 알았고, 파일 속..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-2 문제는 역시나 이전 C-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/576) C-2 드랍퍼가 자동 실행 악성코드를 파일 시스템에 최초로 생성한 시각은 언제인가? C-2 문제는 자동실행 악성코드가 최초로 생성된 시각을 물어본다. 지난번 C-1 문제에서 PostScript 를 분석해 자동 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-1 문제는 역시나 이전 B-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/569) B-1 문제에서는 A-3에서 발견한 3분기-취약점-조치권고.hwp 파일을 분석했었다. C-1 드랍퍼가 생성한 자동실행 악성코드의 파일명은 무엇인가? C-1은 드랍퍼가 생성한 자동실행 악성코드의 파일명을 찾는것이..

HackTheBox에서 제공하는 HARD 난이도의 포렌식 문제 HARD 로 분류되어있긴 하나 다른 HARD 난이도 문제들에 비해선 쉬운편이다. 문제파일은 다운로드 받으면 패킷캡쳐파일과 support.php 가 들어있다. 패킷캡쳐 파일에는 웹 서버와 통신한 내용이 들이있다. URI가 support.php 인 통신이 있는걸로 보아 이 support.php 가 문제 파일로 제공된 파일과 같은 내용인듯 하다. support.php 에는 난독화된 내용이 들이었다. 그런데 자세히 보면 그렇게 어렵게 난독화되어있지 않다. 마지막에 str_replace 하는게 고작이기 때문에 수작업으로도 깔끔하게 고칠 수 있다. $k="80e32263"; $kh="6f8af44abea0"; $kf="351039f4a7b5"; $p="..