보안맨

간단한 포렌식 문제이다. 문제 제목이 세븐일레븐인데 7z 파일을 제공해서 그런건가 싶다. 문제에서 주어지는 것은 challenge.7z 파일이다. 바로 압축을 풀어봤는데, 안에는 password.txt 파일 하나만 들어있다. password.txt 파일의 내용은 이것이 다다. give_me_the_flag 라고 적혀있다. 여기서 꽤 오랜시간이 걸렸는데 txt 파일을 아무리 살펴봐도 저 문장 외에는 아무것도 특별한게 없었기 때문이다. 문제는 challenge.7z 파일 그 자체였다. binwalk 명령어로 확인해보니 7z 파일 안에 또다른 7z 파일이 숨어있었다. dd 명령어로 해당 파일을 한번 추출해 봤다. if 로 읽을 파일을 지정해주고, bs 는 한번에 읽을 바이트를 지정해주는 것이다. 1로 지정하면..

Root Me에서 제공하는 문서형 악성코드 분석 문제 문제 설명을 읽어보면 Word 파일을 열었는데 그 이후로 항상 들어가는 웹사이트가 들어가지지 않는다고 한다. 이 문제의 플래그는 해당 웹사이트의 도메인 이름을 알아내는 것이다. 문제가 문서형 악성코드 분석에 관련된거라 .doc, .docx 같은 문서파일이 제공될 줄 알았는데 의외로 .dmp 파일이 주어졌다. .dmp 파일은 메모리 덤프 파일이다. 아이콘은 와이어샤크 아이콘이지만 와이어샤크로 열려고 하면 안열린다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatilit..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 랜섬웨어에 감염당한 시스템의 이미지를 분석하는 것이다. 문제파일로 주어지는것은 cce_final_mission_7_8.img 파일이다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양..

Root Me 에서 제공하는 암호학 문제 분류는 스테가노그래피로 되어있는데 암호학적인 요소가 있어서 그렇게 다시 분류했다. 문제 설명을 읽어보면 경찰이 테러리스트 그룹의 메세지를 가로챘는데, 메세지에는 다른 통신을 암호화하기 위한 비밀 키가 숨겨져 있다고 한다. 그걸 찾아서 decrypt 하는것이 문제의 목표이다. 문제에서 주어지는건 ch8.ppm 파일이다. ppm 이라는 확장자를 난생 처음봤는데 칼리 리눅스로 파일을 옮겨보니 뭔가 그림이 보였다. 찾아보니 Portable PixMap 의 약자로 이미지 파일의 한 종류라고 한다. 일반적인 이미지 뷰어로는 볼 수가 없어서 어떻게 해야하나 고민하다가 cat 명령어로 파일 내용을 한번 봤더니 수상한 문자열들이 보였다. Hi! Welcome to esoteric..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 간단한 네트워크 포렌식 문제이다. 문제에서 주어지는 파일은 dump.pcap 파일이다. pcap 파일은 패킷캡쳐 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 와이어샤크로 열면 이런 화면이 나온다. 패킷 갯수가 609개 밖에 없는 작은 파일이다. 조금 내리다 보니 13.124.89.133 이라는 호스트에서 뭔가를 다운로드 받고 있는게 보였다. 어떤걸 다운로드 받았는지 추출해 보기로 했다. File - Export O..

CTFlearn의 서른일곱번째 문제 이번에는 암호학 문제이다. 항상 암호학 문제가 나오면 두려운데 이번 문제는 그래도 쉬운편이라 다행이다. 문제 설명을 읽어보면 뭐 거의 풀이법을 다 알려주는거나 마찬가지다. 5x5 행렬을 하나 만들어서 순서대로 알파벳을 채워넣는데, k 는 c와 발음이 같기 때문에 제외하고 25글자를 순서대로 배치한다. 그리고 나서 원래 행렬 읽는것처럼 한글자씩 읽어서 데이터를 가져오는데 이것을 5x5 Crypto 라고 한다고 한다. 우선 k를 제외하고 5x5 형태로 알파벳을 배치하면 이런 형태가 될것이다. 1-3,4-4,2-1,{,4-4,2-3,4-5,3-2,1-2,4-3,_,4-5,3-5,} 문제에서 주어지는 암호문은 이건데, 첫번째 거를 한번 풀어보면, 1-3 이니까 이렇게 찾아가서..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. # 이메일 첨부파일을 분석하여 C2 서버의 주소를 알아내라 이번 문제는 Guide_to_free_testing_of_new_viruses.eml 라는 eml 파일을 이용해 푸는 문제이다. eml 파일은 마이크로소프트에서 개발한 이메일 포멧으로 OutLook 을 이용하면 바로 열어볼 수 있다. eml 파일을 OutLook을 이용해 열어보면 이런 내용이 나온다. 새로운 바이러스를 테스팅 하는 가이드라면서 메일을 보냈는데 form.rtf 파일이 첨부..

HackTheBox 에서 제공하는 LoveTok 문제 웹해킹 문제로 Command Injection 취약점을 이용한 문제이다. 문제페이지에 접속했을 때 화면이다. You'll find love: 라고하면서 어떤 시간을 알려주고 있다. 아래쪽에 있는 Nah, that doesn't work for me. Try again! 이라는 문구는 위에 있는 시간이 마음에 들지 않을 때 누르는 버튼이다. 버튼을 누르면 URL이 /?format=r 이라고 바뀌면서 시간도 같이 바뀌게 된다. 주어지는 소스코드도 같이 살펴보자. TimeController.php 파일을 먼저 살펴본다. isset 으로 format 파라미터가 GET 요청에 있으면 그대로 쓰고, 없으면 r 값을 넣어준다. 이건 아까 빨간 버튼 눌러서 확인한 ..

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. #1 문서형 악성코드를 분석하여 플래그를 찾아라 첫번째는 문서형 악성코드를 분석해 플래그를 찾는 것이다. Amazing_information_about_a_infectious_diseases.eml 라는 제목의 eml 파일이 주어진다. eml 파일은 마이크로소프트에서 개발한 이메일 포멧으로 OutLook 을 이용하면 바로 열어볼 수 있다. eml 파일을 OutLook을 이용해 열어보면 이런 내용이 나온다. 대회당시 한창 코로나19 초기여서 민감..

CTFlearn의 서른 여섯번째 문제 사실 이 문제는 이전에 포스팅한 문제보다 훨씬 앞에 있는데 빼먹고 넘어가버려서 실제 CTFlearn에 있는 문제 순서와 포스팅 순서가 조금 다르게 되어버렸다. 오랜만에 만난 Hard 난이도의 문제이다. 점수는 무려 100점이다. 난이도와 점수때문에 조금 흠칫 할수도 있지만 이 문제는 SQL Injection의 정석같은 문제라 그렇게 어렵지 않게 풀 수 있다. 문제설명에서 문제 페이지 주소가 제공되고, 힌트로 UNION 이 도움이 될 거라고 알려주고 있다. 문제페이지에 접속하면 이런 화면이 나온다. Dog Viewer 라고 되어있고, ID를 입력할 수 있는 칸이 보인다. 아래쪽에 나오는 정보를 보니 강아지들 정보를 조회하는 기능인것 같다. 시험삼아 ID 입력창에 HEL..