보안맨

HackTheBox 에서 제공하는 Easy 난이도의 포렌식 문제 문제 설명을 읽어보면 채용 담당자가 이상한 메일을 받아서 악성코드에 감염되었는데 이메일 사본과 메모리 덤프를 가지고 분석을 해달라 한다. 문제에서 제공되는 파일은 flounder-pc-memdump.elf 파일, imageinfo.txt, Resume.eml 파일 세가지이다. elf 파일이 메모리 덤프 파일이고, imageinfo.txt 는 volatility 를 이용해 메모리 덤프 파일에 imageinfo 플러그인을 실행한 결과, eml 은 이메일 사본이다. eml 파일을 열어보면 resume.zip 파일에 링크가 걸려있는데 해당 링크는 http://10.10.99.25:8080/ 주소로 연결되어 있는걸 알 수 있다. imageinfo.t..

Tenable CTF 에서 웹해킹 카테고리에 있던 문제들은 하나의 웹 사이트가 주어지고, 그 안에서 여러 플래그를 찾아 해결하는 방식이었다. 간단한 문제들이 많아서 여러개를 한번에 포스팅한다. 위에 보이는 것이 공통적으로 제공되는 웹사이트이다. 네번째 문제는 Show me what you got 이다. 문제 설명을 보면 Find the "indexes" flag 라고 적혀있다. indexes 라는 단어를 강조한 것을 보고 Directory Indexing 취약점이라는것을 알아냈다. F12의 개발자 도구를 이용해 웹페이지 구조를 대강 살펴봤다. images 라는 폴더가 있는것을 확인할 수 있었다. URL에 /images/ 라고 입력했더니 디렉토리 인덱싱 취약점으로 인해 Index of /images 페이지..

Tenable CTF 에서 웹해킹 카테고리에 있던 문제들은 하나의 웹 사이트가 주어지고, 그 안에서 여러 플래그를 찾아 해결하는 방식이었다. 간단한 문제들이 많아서 여러개를 한번에 포스팅한다. 위에 보이는 것이 공통적으로 제공되는 웹사이트이다. 첫번째는 Stay Away Creepy Crawlers 이다. 문제 설명을 읽어보면 Find the flag where they keep the creepy crawlers away 라고 적혀있다. crawler 와 관련있는건 robots.txt 이다. 네이버 서치어드바이저에 있는 바로 그 robots.txt이다. robots.txt는 로봇 배제 표준이라고 해서 웹 사이트에 로봇이 접근하는 것을 방지하기 위한 일종의 규약이다. 검색엔진들이 내 웹페이지를 마구마구 ..

CTFlearn 의 여든 네번째 문제 Medium 난이도의 포렌식 문제인데 이전에 비슷한 유형의 문제보다 살짝 어렵다. 문제설명을 읽어보면, Python 을 사용하면 편하다는데 안써도 충분히 풀 수 있다. 문제에서 제공하는 HailCaesar.jpg 파일은 이렇게 생겼다. HxD 를 이용해 해당 파일을 열어보면 시작부터 뭔가 눈에띄는 데이터들이 보인다. 좀더 깔끔하게 보기 위해 Sublime에 붙혀넣어서 확인해봤다. CTFlearn 으로 시작하는 플래그 같이 생긴애들이 보이고 밑에는 Base64로 인코딩 된듯한 데이터가 보인다. 당연하게도 이 세 가지는 진짜 플래그가 아니다. 힌트일거라고 생각해서 고민해보니 두번째 줄은 맨 앞글자만 모아서 보면 ASCII, 세번째 줄은 32 ~ 126 이라는 숫자에 주목..

암호학이 살짝 가미된 포렌식 문제 대회에서는 stego 로 분류되어 있었다. Tenable CTF 가 참신하고 재밌는 문제들이 많이 나오는것 같다. 문제에서 주어지는 것은 turtles128.zip 파일이다. 압축을 풀려고 보면 비밀번호가 걸려있다. ZIP 파일 비밀번호를 crack 하는데는 John the Ripper 라는 도구를 이용했다. 여러가지 비밀번호를 crack 해주는 기능을 가지고 있다. zip2john > hash 명령어로 hash 파일을 생성해준 다음 john hash 명령어로 비밀번호를 crack 해주면 된다. 해당 파일의 비밀번호는 0 이었다. 압축을 풀면 turtles127.zip 파일이 나오는데 이 역시도 암호가 걸려있다. 역시나 똑같은 방법으로 해보면 비밀번호는 0 으로 되어있는..

CTFlearn의 여든 세번째 문제 이번에는 Medium 난이도의 리버싱 문제이다. 문제파일로는 파일이 제공된다. 문제에서 제공되는 코드를 열어보면 이렇게 적혀있다. eat, EaT, eaT, eAT 등 변수나 함수 이름을 상당히 헷갈리게 적어놔서 그냥 봐선 대체 무슨 말인지 알기가 어렵다. 일단 실행시켜봤다. what's the answer 라는 문구가 나오며 사용자 입력을 받는다. hello 라고 입력해 봤더니 bad length 라는 문구가 출력되었다. 사용자 입력값을 eat 에 저장하고 eat 가 9 와 같은지 비교하고 있는데 이 부분이 길이를 체크하는 부분이다. 입력값을 9자리여야 한다. 이번엔 aaaaaaaaa 라고 입력해봤다. bad format 이라면서 입력값의 예시를 출력해준다. 입력값은..

CTFlearn의 여든두번째 문제 이번엔 프로그래밍과 관련한 문제이다. 문제 설명을 읽어보면 이상한 안드로이드 계산기라고 하는데 이상한점을 찾아내라고 한다. 문제를 풀때 안드로이드 기기는 필요없다고 한다. 문제에서 주어지는 것은 WeirdCalculator.apk 파일이다. apk 파일이 주어지는 jadx 라는 도구를 사용하면 유용하다. (https://github.com/skylot/jadx) 자바 디컴파일러로 apk 파일을 넣으면 디컴파일해서 java 소스코드를 볼 수 있게 해준다. jadx 를 실행시킨 후 문제 파일을 열면 이런 화면이 나온다. 왼쪽 메뉴에서 가장먼저 MainActivity 부분을 확인해봤다. 특별한게 없는거 같아서 아래쪽에 Parser 를 눌러보니 AnonymousClass1Int..

포렌식에 암호학이 살짝 섞인 문제 문제 설명에 monk 라는 단어가 나오는데 이게 문제풀때 큰 힌트가 된다. 문제에서 주어지는 것은 shield.png 파일이다. 열어보면 이렇게 생겼다. HxD로 해당파일을 열어서 스크롤을 내려봤다. PNG 파일은 끝날때 49 45 4E 44 AE 42 60 82 로 끝난다. IEND®B`‚ 이렇게 생긴 문자열이 나오면 PNG 파일은 끝난것이다. 그런데 이상한게 위의 문자열이 나왔음에도 89 50 4E 47 라는 문자열이 새로 나오는 것을 볼 수 있다. 89 50 4E 47로 시작하는것은 PNG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. 그러니까 이 파일은 PNG 파일 뒤에 또다른 PNG 파일이 있는 것이다. 뒤에 있는 PNG 파일을 복사해서 새로만들기 하면 이..

CTFlearn 의 여든한번째 문제 이번엔 Hard 난이도의 암호학 문제이다. 문제 제목에 나온것 처럼 RSA 암호 알고리즘과 관련되어있다. RSA는 지금까지도 아주 많이 사용하는 공개키 알고리즘의 이름이다. 개발자인 Rivest, Shamir, Adleman 세명의 이름 앞글자를 따서 RSA 라고 이름을 붙혔다. 엄청나게 큰 숫자일수록 소인수분해가 어렵다는것에 착안해서 설계되었다. RSA의 원리는 아래와 같다. 1. 두 소수 p, q를 준비한다. 2. p-1, q-1과 각각 서로소(1외에는 공약수가 없는 수)인 정수 e를 준비한다. 3. ed를 (p-1)(q-1)으로 나눈 나머지가 1의 되도록 하는 d를 구한다.(d는 개인키로 공개하지 않는다) 4. n=pq를 계산한 후 n과 e를 공개한다.(이 둘이 ..

생각보다 자주 보이는 유형의 스테가노그래피 문제 오래전에 블로그에서도 유사한 문제를 다룬적이 있다. (https://hackingstudypad.tistory.com/125) 두개의 사진에서 숨겨진 데이터를 찾는것이 문제의 목표이다. 문제에서는 crypted1.png, crypted2.png 파일 두개가 주어진다. 각 이미지는 이렇게 생겼다. 노이즈처럼 지지직 하게 생긴 이미지가 두개 주어진다. 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL ..