보안맨

파일 비밀번호 crack 과 관련한 포렌식 문제 이미 유사한 문제들을 블로그에서 많이 다뤘었다. (https://hackingstudypad.tistory.com/437) 주어지는 파일은 flag.zip 파일이다. 압축을 풀려고 보면 비밀번호가 걸려있다. 이런 문제는 John the Ripper 도구를 사용하면 된다. John the Ripper 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john --wordlist= hash 명령어로 비밀번호를 crack 해주면 된다. 잠시 기다리면 금방 결과가 나온다. 압축을 풀어보니 flag.pdf 파일이 나온다. pdf 파일을 열러고 보니 또 암호가 걸려있었다. 이래서 문제제목이 ..

문제 제목에서 QR 코드라고 힌트를 주고 있는 포렌식 문제이다. 문제에서 주어지는 것은 secret.csv 파일이다. 해당 파일을 열어보면 row, col 이라고 적혀있고 그 아래 숫자들이 써있다. row, col 이라는걸 보니 x,y 좌표라고 생각하면 될것 같고, 숫자는 x, y 모두 0부터 28까지 적혀있었다. 위에도 보면 0 ~ 28 범위 내에서 써있는 숫자도 있고, 안써있는 숫자도 있는데 써있는 숫자는 1, 안써있는 숫자는 0 으로 분류해서 해당 좌표에 색을 칠할지 말지 판단하면 되는듯 했다. 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install ..

PDF 파일 포렌식과 관련된 문제 이전에 Root Me에서 제공하는 유사한 문제를 다룬적 있었다. (https://hackingstudypad.tistory.com/340) 문제에서 주어지는 것은 strange.pdf 파일이다. 열어보면 이런 내용으 들어있는데 스테가노그래피에 대한 설명인듯 하다. 그 외에 특별한 점은 발견할 수 없다. http://sandsprite.com/blogs/index.php?uid=7&pid=57 RE Corner - PDF Stream Dumper PDF Stream DumperAuthor: David ZimmerDate: 07.21.10 - 7:55pm This is a free tool for the analysis of malicious PDF documents. Th..

이번엔 주황색(Meduim) 난이도의 네트워크 문제이다. 생각보다 풀이수가 많다. 주어진 네트워크 트래픽에서 뭔가를 찾아보라고 한다. 문제에서 주어지는 것은 ch9.pcap 파일이다. pcap 파일은 wireshark 라는 도구를 이용해 열어볼 수 있다 열어보면 이런 화면이 나오는데 일반적으로 알고있는 TCP 나 UDP 패킷은 아닌것처럼 보였다. Modem 과 Unknown 과의 통신을 보여주는데 Length 가 굉장히 짧은 모습이다. 문제에서 참고하라고 링크 걸어놓은 RFC 5724 문서를 살펴봤다. Nokia, SMS 같은 내용이 적혀있는걸로 보아 문자메세지와 관련된 패킷인가 보다. 대충 이해해보면 하나의 문자를 8bit 가 아닌 7bit 로 보내는 프로토콜인것 같다. 처음엔 각 패킷 맨 뒤에 있는 ..

PNG 파일과 관련된 스테가노그래피 문제 이전까지 블로그에서 다루지 않았던 새로운 도구로 풀어볼 수 있다. 이게 문제에서 주어지는 pngg.png 파일이다. zsteg 같은 png 스테가노그래피 도구를 이용해서 봐도 특이한 점이 보이지 않았고 HxD 로 열어서 봐도 별다른 특이한 점이 보이지 않았다. https://github.com/bannsec/stegoVeritas GitHub - bannsec/stegoVeritas: Yet another Stego Tool Yet another Stego Tool. Contribute to bannsec/stegoVeritas development by creating an account on GitHub. github.com 검색하다보니 stegoVeritas..

SSL 패킷 포렌식과 관련된 문제이다. 19th DEFCON CTF qualification 에 나왔던 문제라고 한다. 밑에 google 에 inurl:server.pem 이라고 검색해보라는 힌트도 있다. 문제에서 주어진 ch5.pcap 파일을 열어보면 이런 화면이 나온다. TLSv1 을 사용하는 패킷들이 보인다. TLS 패킷의 자세한 내용을 보려면 우클릭 - Follow - TLS Stream 을 눌러야 하는데 비활성화 되어있는 모습이다. 암호화 통신이기 때문에 Key 가 있어야 내용을 확인할 수 있기 때문이다. 힌트에 나온대로 구글에 inurl:server.pem 이라고 검색해봤다. 맨 위에 defcon 이라고 적힌 링크가 나오는데 이건 들어가보니 다른것 같고, 아래쪽에 있는 Apple Open So..

웹 엑세스 로그와 관련된 포렌식 문제이다. 어떻게 보면 보물찾기랑 비슷한 느낌이다. 플래그 형식은 attacker가 사용한 CVE 공격의 넘버와 attacker 가 덮어쓴 파일의 절대경로를 쓰면 된다. 아래는 회사 인프라에 대한 diagram 이 제공되어 있는데 문제푸는데 크게 상관할 부분은 아니다. 문제에서는 access.log 파일이 주어진다. 오래전 포렌식 문제에서 많이 볼 수 있었던 유형인데 뭔가 반가웠다. access.log 파일을 열어보면 이런 내용이 들어있다. 접속자의 ip - 접속 시간 - 메소드 - 접속한 URI - 응답코드 - 응답 메세지 크기 등의 정보가 저장되어 있다. 이제 이 로그에서 공격당한 흔적을 찾으면 된다. 로그가 1,857줄 밖에 안돼서 아주 쉬운 문제이다. 로그 앞부분에..

SIP 프로토콜과 관련한 네트워크 문제 SIP 프로토콜은 Session Initiation Protocol 의 약자로 VoIP 에서 사용하는 신호 프로토콜이다. 문제 Level 을 보면 노란색으로 표시되어 있어서 마냥 쉽지만은 않겠구나 생각했는데 황당할 정도로 쉬운 문제였다.. 이게 문제에서 주어지는 ch4.txt 파일의 내용이다. SIP 프로토콜로 어딘가에 로그인한 로그가 남겨져있는데 첫번재 줄을 보면 REGISTER, PLAIN 뒤에 숫자가 써있는걸 볼 수 있다. 이 부분이 바로 평문으로 통신된 비밀번호이다. 문제는 비밀번호를 찾는것으로 이 값을 그대로 적으면 문제가 풀린다; 원래라면 저기에 아래처럼 MD5 해시값을 넣어서 Crack 해야하는게 올바른 문제일것 같은데 너무 간단해서 정답이 아닌줄 알았..

Root Me 에서 제공하는 네트워크 패킷 포렌식 관련 문제 원래라면 더 어렵게 풀어야 했으나 많은 사람이 풀어서 그런지 의도치않게 쉽게 풀렸다. 문제에서 주어지는 것은 ch23.pcapng 파일이다. 여기서 user password 를 찾아야 한다. pcapng 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 여러 패킷들이 섞여있는데 문제 제목에 나와있는 POP 프로토콜 패킷을 찾아본다. POP 프로토콜은 Post Office Protocol 의 약자로 원격 서버에서 TCP/IP 연결을 통해 이메일을 가져오는데 사용된다. 이렇게 pop 이라고 검색하면 필터링 할 수 있다. 첫번째 패킷을 우클릭한 뒤 Follow - TCP Stream..

정말 오랜만에 업로드 해보는 Root Me문제 JPG 파일과 관련된 스테가노그래피 문제이다. JPG 파일에서 숨겨진 비밀번호를 찾으면 된다. 문제에서 주어지는것인 이 파일이다. 디카프리오가 나오는 사진인데 HxD 로 파일을 열어보면 이렇게 나온다. JPG 파일의 시그니처인 FF D8 FF E0 가 맨 앞에 나오고, 잠시 뒤에 다시한번 시그니처인 FF D8 FF E0 가 나온 뒤 그뒤에 We need to go deeper 라는 문장이 나온다. 저 부분이 썸네일 부분이다. 두번째 FF D8 FF E0 부터 파일의 맨 끝까지 복사한 뒤, 새로만들기에 붙혀넣기 해서 JPG 파일로 저장해주면 썸네일이 추출되면서 그 안에 있는 플래그를 찾을 수 있다. 온라인으로도 풀 수 있다. Forensically 라는 사이트..