보안맨

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. E-1 문제는 이전 D-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/580) E-1 랜섬웨어 악성코드를 다운로드 하는 URL은 무엇인가? E-1 부턴 윈도우 이미지에서 가장 먼저 눈에 띄었던 랜섬웨어 악성코드에 대해 조사한다. 랜섬웨어를 다운로드 하는 URL을 찾는 것인데 지난번 D-1 문제에..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. D-1 문제는 이전 C-3에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/578) D-1 자동 실행 악성코드가 추가 페이로드를 다운로드 받는 아이피와 파일 경로는 무엇인가? D-1 은 자동 실행 악성코드가 추가 페이로드를 다운받는 서버 주소와 해당 파일의 경로를 찾는 문제이다. 자동 실행 악성코드는..

HackTheBox에서 제공하는 EASY 난이도의 웹해킹 문제 Ruby 로 개발된 웹페이지에 대한 SSTI 취약점과 관련된 문제이다. 문제 소스파일과 함께 문제페이지 주소가 주어진다. 문제 페이지에 들어가면 Ruby로 개발된 것을 어필하는듯 빨간 보석들이 보이고 중간에 입력할 수 있는 칸이 하나 보인다. 웹 페이지의 기능은 사용자가 입력한 텍스트를 아래쪽에 네온 효과를 줘서 출력시키는 것이 전부이다. 처음엔 SSTI 관련 문제인지 모르고 XSS 페이로드를 테스트 해보고자 를 입력해 보았다. 그랬더니 Malicious Input Detected 라는 문구가 출력된다. class NeonControllers < Sinatra::Base configure do set :views, "app/views" set..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-3 문제는 이전 C-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/577) 지난번 문제에선 hwp 파일의 postscript 를 분석해 \\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 에 IIsExt.vbs 파일이 생성된다는 것을 알았고, 파일 속..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-2 문제는 역시나 이전 C-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/576) C-2 드랍퍼가 자동 실행 악성코드를 파일 시스템에 최초로 생성한 시각은 언제인가? C-2 문제는 자동실행 악성코드가 최초로 생성된 시각을 물어본다. 지난번 C-1 문제에서 PostScript 를 분석해 자동 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-1 문제는 역시나 이전 B-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/569) B-1 문제에서는 A-3에서 발견한 3분기-취약점-조치권고.hwp 파일을 분석했었다. C-1 드랍퍼가 생성한 자동실행 악성코드의 파일명은 무엇인가? C-1은 드랍퍼가 생성한 자동실행 악성코드의 파일명을 찾는것이..

HackTheBox에서 제공하는 HARD 난이도의 포렌식 문제 HARD 로 분류되어있긴 하나 다른 HARD 난이도 문제들에 비해선 쉬운편이다. 문제파일은 다운로드 받으면 패킷캡쳐파일과 support.php 가 들어있다. 패킷캡쳐 파일에는 웹 서버와 통신한 내용이 들이있다. URI가 support.php 인 통신이 있는걸로 보아 이 support.php 가 문제 파일로 제공된 파일과 같은 내용인듯 하다. support.php 에는 난독화된 내용이 들이었다. 그런데 자세히 보면 그렇게 어렵게 난독화되어있지 않다. 마지막에 str_replace 하는게 고작이기 때문에 수작업으로도 깔끔하게 고칠 수 있다. $k="80e32263"; $kh="6f8af44abea0"; $kf="351039f4a7b5"; $p="..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. B-2 문제는 이전 B-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/569) B-1 문제에서는 A-3에서 발견한 3분기-취약점-조치권고.hwp 파일을 분석했었다. B-2 드랍퍼가 취약점을 최초 발현한 시각과 취약점의 원인이 되는 바이너리의 파일명은 무엇인가? B-1 문제에서 hwp 내에 있는 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. B-1 문제는 이전 A-3에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/567) download.html 으로 접근하면 3분기-취약점-조치권고.hwp 파일이 자동으로 다운로드 되는것을 확인했었다. 이렇게 실제 파일이 떨어지게 된다. 이게 문제에서 의미하는 드랍퍼 인듯 하다. B-1 드랍퍼에서 획득..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. A-3 문제는 이전 A-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/565) A-2 에서 드랍퍼가 위치한 서버의 IP를 Outlook을 통해 확인했었다. A-3 이메일을 분석하여 플래그를 획득하여라 A-3 문제는 해당 이메일을 분석해서 플래그를 획득하는 것이었다. 일단 이메일에 링크된 주소로 ..