보안맨

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/689) A-3 문제는 드랍퍼가 레지스트리 키를 수정하여 악성 DLL이 로딩되도록 했는데, 이 때 레지스트리 키가 수정된 시각과 DLL이 로드된 프로세스의 이름을 찾는것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 여기서 조금만 스크롤을 내려보면 해당 Powershell 스크립트로 어떤 레지스트리 키가 추가되는지 확인할 수 있다. netmon.dll 이 추가되는것으로 보아 이게 ..

Root Me에서 제공하는 쉬운 난이도의 암호학 문제 이번문제 역시 이전에 풀이한 Hash - DCC / DCC2 / LM 과 별반 다르지 않다. (https://hackingstudypad.tistory.com/682) (https://hackingstudypad.tistory.com/684) (https://hackingstudypad.tistory.com/686) 문제 설명을 보면 이전과 같이 administrator 유저의 비밀번호를 secretsdump 도구 사용 결과로부터 알아내라고 한다. Start the Challenge 버튼을 누르면 이런 데이터를 볼 수 있다. 이게 아까 말한 secretsdump 실행 결과인데 마찬가지로 이 부분 해시값 형태로 적혀있는 administrator 의 비밀..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/683) A-2 문제는 드랍퍼가 특정 악성코드를 10분에 1회 실행하도록 등록했는데 해당 악성코드의 해시와 다운로드 URL을 알아내는 것이 목표이다. 지난 A-1 문제에서 드랍퍼가 msedge.exe 파일인 것을 확인했었다. 해당 파일은 다운로드 폴더 안에 있는 이 파일인데 HxD를 이용하여 해당 파일을 열어봤더니 중간 부분부터 Base64 인코딩된 문자열 같은게 보였다. CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 한 뒤 Base64 디코딩을 한번 더 해주면 Powers..

247CTF 에서 제공하는 MODERATE 난이도의 암호학 카테고리 문제 제목에서 알 수 있는것처럼 XOR 관련된 문제이다. 문제에서 주어지는 것은 exclusive_key 파일이다. 해당 파일을 HxD로 열어봤는데 아무 의미없어 보이는 데이터들만 들어있었다. CyberChef(https://gchq.github.io/CyberChef) 에 해당 파일을 업로드 한 후 XOR 을 해보았다. KEY 값이 뭔가 플래그일 것 같아서 플래그 포맷의 맨 앞부분인 247CTF{ 를 넣어봤는데 Output의 맨 앞부분이 뭔가 HTML 을 XOR 한 데이터인듯 했다. 맨 앞부분이 이 되도록 XOR 키를 하나씩 늘려가며 붙혀줬다. 중간중간에 /title> 같은 html 태그들이 보이기 시작하는걸 보니 어떤 웹페이지를 가져..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 드랍퍼가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 본선에서는 prob_a, prob_b 두개의 win10 침해사고 이미지가 주어졌고 이번 문제는 prob_a 문제를 이용해 해결할 수 있었다. 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 문제에서 정상 프로그램으로 위장한 악성 프로그램이라고 해서 뭔가 사용자를 속여 다운로드 받게끔 했을것이라 생각했다. 실제로 다운로드 폴더에 들어가보면 뭔가 정상 파일처럼 보이는 설치파일들이 들어있는것을 확인할 수 있다. 정확히 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이..

Root Me에서 제공하는 쉬운 난이도의 암호학 문제 이번문제 역시 이전에 풀이한 Hash - DCC / DCC2 와 별반 다르지 않다. (https://hackingstudypad.tistory.com/682) (https://hackingstudypad.tistory.com/684) 문제 설명을 보면 이전과 같이 administrator 유저의 비밀번호를 secretsdump 도구 사용 결과로부터 알아내라고 한다. Start the Challenge 버튼을 누르면 이런 데이터를 볼 수 있다. 이게 아까 말한 secretsdump 실행 결과인데 역시나 이 부분 해시값 형태로 적혀있는 administrator 의 비밀번호를 알아내는것이 목표이다. 알아내는건 크게 어렵지 않다. John the ripper..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이번 문제는 이전 포렌식 문제들과 이어지진 않는다. 가-1, 가-2 문제도 있었으나, 캡쳐를 제대로 하지 못해 나-1 문제에 대해서만 Write up을 작성한다. 문제에서는 secretBox 라는 바이너리 파일이 주어진다. 문제 설명처럼 패스워드 프로그램이다. 해당 바이너리를 IDA로 열어, main 함수의 수도코드를 살펴보았다. 열자마자 눈에 띄는 부분이 있었는데 v3 배열에 대해 특정한 값이 들어있는지 검증하는 부분이었다. 조건문 다음에 main_printFlag 함수가 호출되는걸로 보아 뭔가 플래그와 관련이 있어 보였다. password = [0] * 13 password[0] = 39 password[9] = 80 password[12] = 79 ..

Root Me에서 제공하는 쉬운 난이도의 암호학 문제 이전에 풀이한 Hash - DCC 와 별반 다르지 않다. (https://hackingstudypad.tistory.com/682) 문제 설명을 보면 이전과 같이 administrator 유저의 비밀번호를 secretsdump 도구 사용 결과로부터 알아내라고 한다. Start the Challenge 버튼을 누르면 이런 데이터를 볼 수 있다. 이게 아까 말한 secretsdump 실행 결과인데 동일하게 이 부분 해시값 형태로 적혀있는 administrator 의 비밀번호를 알아내는것이 목표이다. 알아내는건 크게 어렵지 않다. John the ripper 라는 도구를 사용하면 된다. 해당 값을 파일로 저장해준 후, format 을 mscash2 로, w..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 H-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/681) H-2 문제는 공격자가 스크린 캡처, 클립보드 데이터 유출 시 secure shell 을 활용했는데, 이 때 공격자가 파일을 업로드한 서버의 계정 및 암호를 찾는것이 목표이다. 사실 이번 문제는 거의 공짜로 주는 문제였다.. 이전 문제에서 이미 다 답을 구해놨기 때문.. 위 파워쉘 스크립트들이 스크린 캡쳐, 클립보드 데이터를 유출하는 내용인데 공통적으로 들어가 있는 이 부분을 보면 된다. pscp.exe 를 이용해 원격지인 192.168.35.85로 데이터를 유출하는데 -pw 옵션으로 알 수 있듯이 비밀번호는 l@2@ruz!! 이고 서버 계정..

Root Me에서 제공하는 쉬운 난이도의 암호학 문제 문제 설명을 보면 administrator 유저의 비밀번호를 secretsdump 도구 사용 결과로부터 알아내라고 한다. Start the Challenge 버튼을 누르면 이런 데이터를 볼 수 있다. 이게 아까 말한 secretsdump 실행 결과인데 여기서 이 부분 해시값 형태로 적혀있는 administrator 의 비밀번호를 알아내는것이 목표이다. 알아내는건 크게 어렵지 않다. John the ripper 라는 도구를 사용하면 된다. 해당 값을 파일로 저장해준 후, format 을 mscash 로, wordlist 를 rockyou.txt 파일로 지정하여 툴을 실행시키면 1초도 안돼서 원래의 비밀번호를 알아낼 수 있다.