보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

Root Me 에서 제공하는 암호학 문제 아주 간단한 문제인데 생각보다 풀이수가 작고 난이도도 노란색으로 표시되어 있다. 문제 설명을 보면 적으로부터 획득한 암호문을 해독해야 하는 상황인듯 하다. 문제에서 제공된 링크로 들어가면 이렇게 간단한 문장 하나면 적혀있다. 그냥 봐선 이게 영언지 뭔지 도무지 알 수 없는 문장이다. Wnb.r.ietoeh Fo"lKutrts"znl cc hi ee ekOtggsnkidy hini cna neea civo lh 문제 설명에서 힌트를 준것처럼 이 문장은 Rail Fence Cipher 로 암호화 된 것이다. CyberChef(https://gchq.github.io/CyberChef) 에 가면 Rail Fence Cipher 를 디코딩 해주는 레시피가 있다. 처음에 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/667) F-1 문제는 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서 플래그를 획득하는 것이 목표이다. 이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다. E-3 에서 gametime.dll 이 실행되는 것을 확인했었다. 바탕화면 Log 폴더에 제공되어 있는 1.pcapng 파일을 wireshark 로 열어보면 중간쯤에서 http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 MZ 헤더로 시작하는 파일을 다운로드 받은것..

Root Me 에서 제공하는 암호학 문제 이번 문제는 안드로이드 패턴과 관련된 문제이다. 문제에서 제공되는 것은 ch17.tbz2 파일이다. 해당 파일을 압축 풀고 들어가보면 이런 파일과 폴더들이 보이는데 안드로이드 시스템 파일과 폴더들인것 같다. 안드로이드 패턴을 푸는것이 목표이니 여기 어딘가에 패턴에 관련된 정보가 저장되어 있을 것이다. 해당 파일을 찾는것은 검색해보면 어렵지 않다. 버전마다 다를순 있겠지만 /data/system/ 경로에서 gesture.key 파일을 찾으면 된다. 바로 그냥 상위디렉토리에서 find 돌려도 된다. https://github.com/sch3m4/androidpatternlock/tree/master GitHub - sch3m4/androidpatternlock: A ..

[2022 화이트햇 콘테 2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/665) E-3 문제는 피해 호스트에 설치된 악성코드 중 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드가 최초로 실행된 시각과, 당시 PID를 찾는것이 목표이다. 윈도우 이미지를 켜보면 위와 같이 cmd 창이 갑자기 켜지면서 이미지 내에 있는 파일 목록이 어딘가로 유출되고있는 듯한 장면이 연출된다. SysinternalsSuite의 Autoruns 도구를 이용해서 자동실행 관련 설정들을 확인해 보면 시스템 부팅과 관련한 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/663) E-2 문제는 공격자가 피해 호스트의 스크린샷, 클립보드 등 자격증명을 지속적으로 유출하기 위해 설치한 악성코드를 분석해 플래그를 획득하는 것이 목표이다. 지난 문제에서 디코딩한 파워쉘 스크립트를 보면 http://192.168.35.85/index.do 쪽으로 접근하는 흔적을 찾을 수 있다. 해당 정보를 바탕으로 바탕화면\Log 폴더의 3.pcapng 파일을 Wireshark로 분석해보면 136845 번째 패킷에서 똑같은 목적지의 패킷을 찾을 수 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면 Res..

247CTF 에서 제공하는 MODERATE 난이도의 네트워크 포렌식 문제 문제에서는 web_shell.pcap 파일이 주어진다. 해당 파일을 Wireshark 로 열어보면 특정 웹 서버에 대해서 brute force 하는 듯한 흔적을 찾을 수 있다. uri 를 계속 바꿔가면서 GET 요청을 보내는데, 돌아오는 응답은 모두 404 인것이 보인다. 쭉 내려보다가 /uploader.php 경로에서 200 OK 가 떨어진걸 확인할 수 있었다. 200 OK를 확인한 후 POST 패킷을 이용해 어떤 데이터를 보내고 있다. 해당 패킷을 우클릭 - Follow - HTTP Stream 을 해보니 뭔가 난독화된 PHP 코드를 전송하고 있는데 자세히 보면 그렇게 어렵지 않다. 보기 쉽게 쓰면 위와 같은데 먼저 str_re..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/661) E-1 문제는 공격자가 기존 프로그램의 구성 요소를 삭제하고 악성코드를 설치한 시각과 공격자가 삭제한 프로그램 경로를 찾는것이 목표이다. 이번 문제는 Sysmon 로그를 통해 초기분석을 했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 지난 D-3 문제에서 Gnuwnkfi.exe 를 실행시킨 파워쉘 로그가 찍힌 직후의 로그를 보면 또다시 한번 powershell 이 실행되고, ps1 파일이 생성되는것을 sysmon 로그를 통..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 보면 플래그가 그림으로 그렸는데, 점들을 이어서 찾을 수 있냐고 물어본다. 어릴때 많이 했던 점선잇기 같은 느낌이다. 문제에서 주어지는 것은 secret_map.txt 파일이다. 16진수가 두개씩 적혀있는데 map 이라는걸 보니 이어야 할 점들의 좌표인듯 하다. python을 이용해 그림을 그려본다. import pygame def main(): pygame.init() background = pygame.display.set_mode((2700, 200)) while True: ev = pygame.event.poll() if ev.type =..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제페이지로 접속하면 Python flask 코드가 나온다. 웹으로 간단한 계산기를 구현한듯 한데 /calculator 경로에서 number_1, number_2 파라미터에 각각 숫자를, operation 파라미터에 연산자를 넣으면 결과를 출력해주는것 같다. 이렇게 1+2를 넣으면 3으로 결과를 출력해준다. 제목이 Try and catch 인걸로 보아 뭔가 오류를 내야할 것 같은데 아주 쉽게 오류를 낼 수 있는 방법이 있다. 바로 0으로 나누는 것이다. 예외처리가 되어있지 않아 이렇게 바로 오류가 난다. debug 모드가 활성화되어 있는지 디버그 화면으로 넘..