보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/657) D-2 문제는 공격자가 피해 호스트에 접근할 때 사용한 도구와 프로토콜을 찾는 것이 목표이다. 지난 문제에서 Sysmon log 의 net share 실행 흔적을 기반으로 바탕화면의 Log 폴더 내 2.pcapng 파일을 분석해 192.168.35.199 IP 주소에서 공격자가 SMB 프로토콜을 이용해 원격 접속했다는 것을 알아냈다. 따라서 문제에서 요구하는 프로토콜은 SMB 이다. 이제 도구를 찾아야 하는데 Sysinternals Suite 도구 중 SMB 와 관련된 도구는 PSEXEC.EXE 이다. 따라서 이번 문제의 플래그는 FLAG{P..

247CTF 에서 제공하는 MODERATE 난이도의 WEB 문제 문제 페이지에 접속하면 이런 화면이 나온다. PHP 코드가 보여지는데 내용을 보면 /tmp/flag.txt 파일에 플래그가 있다는것을 알 수 있다. GET 메소드로 include 파라미터가 있어야하고, include 인자의 길이가 10 이하여야 include 함수로 서버 내부 파일을 읽어올 수 있는듯 하다. 10글자 길이제한이 없다면 단순히 URL 에 ?include=/tmp/flag.txt 를 추가하면 되겠지만 10글자 제한 때문에 안된다. https://bugs.php.net/bug.php?id=53465 PHP :: Bug #53465 :: Cannot open file descriptor streams bugs.php.net 조금 찾..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/655) D-1 문제의 목표는 피해 호스트에 원격 접근을 수행한 공격자 서버 아이피를 찾는 것이다. 이번 문제는 Sysmon 로그와 함께 네트워크 패킷 파일을 이용해 해결했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) Sysmon 로그를 보다보면 net share 명령어를 사용하는것이 보인다. 물론 이 로그의 시간대는 문제의 시간대와 맞지 않지만 net share 명령어를 쳤다는게 힌트가 되지 않을까 싶어서 SMB 프로토콜을 위주로..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 읽어보면 특정 숫자를 맞춰야만 플래그를 얻을 수 있는것 같다. import SocketServer, threading, random, time class ThreadedLotteryServer(SocketServer.ThreadingMixIn, SocketServer.TCPServer): pass class LotteryHandler(SocketServer.BaseRequestHandler): def handle(self): secret = random.Random() secret.seed(int(time.time())) winning_choic..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/653) C-3 문제는 공격자가 데이터를 유출하기 위해 사용했던 클라우드 서버의 계정과 패스워드를 알아내는 것이 목표이다. 이번 문제는 HOffice2022_Viewer.exe 파일로부터 생성된 io_.vbs 파일을 분석해 해결할 수 있다. io_.vbs 파일을 열어보면 Base64로 인코딩된 EncodedCommand 라는 부분이 존재하는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(..

247CTF 에서 제공하는 EASY 난이도의 리버싱 문제 문제에서 제공되는 파일은 encrypted_password 이다. 해당 파일을 리눅스 환경에서 실행시키면 Enter the secret password : 라는 문구가 출력되고 뭔가 입력을 했을때, 조건과 다르면 바로 종료가 된다. IDA 도구를 이용해 해당 바이너리를 연 뒤 main 함수에서 F5를 눌러 수도코드를 보면 위와 같은 내용이 들어있다. s 라는 변수에 875e9409f9811ba8560beee6fb0c77d2 라는 값이 저장되고, s2 에는 0x5A53010106040309, 0x5C585354500A5B00, 0x555157570108520D, 0x5707530453040752 값이 들어있는것이 보인다. for 문에서 s2와 s를 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/651) C-2 문제는 공격자가 자격증명을 덤프한 뒤 유출할 때 사용한 도구 이름과 해당 도구가 데이터를 유출하기 위해 최초 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 공격자가 공격에 사용한 여러 도구들이 있는것을 확인했었다. 도구와 관련된 문제이니 이번에 사용한 도구도 여기 있는 tcping.exe, mimidrv.sys, mimikatz.exe, mimilib.dll, nbtscan.exe, netsess.exe, pscp.exe, rclone.exe 중 하나가 정답일 것이다. 이..

247CTF에서 제공하는 EASY 난이도의 리버싱 문제 리버싱이라고 부르기 민망할 정도로 쉬운 문제이다. 문제에서는 the_more_the_merrier 라는 바이너리 파일이 하나 주어진다. ELF 파일이길래 KALI 로 옮겨서 실행해 봤더니 Nothing to see here... 라는 문구만 나오고 아무일도 벌어지지 않는다. 실행해서 플래그를 찾는게 아니라 바이너리 내부 어딘가 숨겨져 있는 느낌이었다. HxD로 열어서 Nothing to see here 부분 근처를 찾아봤더니 한글자씩 띄엄띄엄 적혀있는 플래그를 찾을 수 있었다. 중간에 있는 00 00 00 공백을 모두 지우고 하나로 합쳐 제출하면 문제를 해결할 수 있다.

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/649) C-1 문제는 공격자가 자격증명을 덤프하기 위해 사용한 도구 이름과 프리패치 로그 상에서 해당 도구가 마지막으로 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 mimikatz.exe 가 있다는 것을 알아냈었다. mimikatz는 워낙 유명한 자격증명 덤프 도구이기 때문에 문제에서 요구하는 첫번째 정답은 바로 알아낼 수 있다. 이제 프리패치를 확인해서 mimikatz 가 언제 실행되었는지 보기만 하면 된다. 프리패치를 분석할때는 위의 WinPrefetchView 라는 도구를 사용한..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제 설명을 보면 웹 서버의 메모리에 관련된 문제라고 하면서 2014년 이후 패치가 됐을까 하는 의문을 던지고 있다. 웹서버, 메모리, 2014을 키워드로 찾아보면 Heartbleed 취약점에 관련된 것이라는 것을 쉽게 알아낼 수 있다. 맨땅에서 페이로드부터 다 작성해서 풀면 굉장히 어렵겠지만 다행히 옛날 취약점이라 적당한 툴을 이용해면 금방 해결할 수 있다. 특히 칼리리눅스에 내장된 Metasploit 을 이용하면 쉽다. 터미널에서 msfconsole 을 입력해 메타스플로잇 콘솔에 접속해준다. 프롬포터가 나오면 search heartbleed 라고 입력해준..