보안맨

[B-5] 해당 가상머신의 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트는? 플래그 형식은 FLAG{IP_PORT} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/699) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. B-5 문제는 침해사고를 당한 Windows10 이미지에서 동작하는 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트를 찾는것이 목표이다. 사실 이건 지난 B-4 문제를 풀면 바로 해결할 수 있는데 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석하면 목적지 주소가 15.165.18.103 인 곳으로 계속 통신이 이루어..

SuNiNaTaS 에서 제공하는 문제 첫번째 문제이다. 웹해킹으로 분류되어있긴 한데 딱히 웹해킹으로만 볼 수 있는 문제는 아니다. 문제페이지에 들어가면 이런 화면이 나온다. 사용자의 입력을 받아서 그 값을 str에 넣고, str에 들어있는 값을 이리저리 바꿔서 result 에 저장하는데 최종적으로 저장된 값이 admin 일 경우에 플래그를 얻을 수 있는듯 하다. 결국 어떤 값을 넣어야 저런 연산을 했을 때 admin 이라는 값이 나오냐는 것이다. str_input = input("Enter a string: ") if str_input: result = str_input.replace("a", "aad").replace("i", "in") result1 = result[1:3] result2 = resu..

[B-3] 문제에서 password 파일을 생성하는 악성 코드를 분석하여 플래그를 획득하라 플래그 형식은 FLAG{...} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/697) 정신을 어디 뒀었는지 이번 문제화면도 캡쳐를 못했다.. B-4 문제는 B-3 문제에서 password 파일을 생성하는 악성 코드를 분석해서 플래그를 획득하는 것이 목표이다. B-3 에서 찾은 파워쉘 코드이다. 이걸 보고 mimikatz.exe 가 password 파일을 생성하는거라고 생각해서 분석을 해봤는데 별다른 소득이 없었다. 그래서 다시 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해봤는데 목적지 주..

Root Me 에서 제공하는 간단한 시스템 해킹 문제 이번 문제는 Bash 쉡 스크립트에서 unquoted expression injection 을 하는 문제이다. 아래쪽에 있는 WebSSH 버튼을 눌러 접속할 수 있다. 들어가서 ls -al 해보면 ch16.sh 스크립트가 있고, wrapper 파일이 있다. wrapper 를 실행시키면 ch16.sh 가 실행된다. ch16.sh 파일의 내용은 문제 설명에서 나왔던 스크립트와 동일하다. .passwd 파일의 내용을 가져와서 PASS 에 저장하고, 사용자의 입력값은 ${1} 에 담아서 $PASS 와 ${1} 이 같은지 비교하는 것이다. 이제 ${1} 부분에 인젝션을 하면 된다. 하는 방법은 아주 간단하다. "0 -o " 으로 입력하면 된다. 이렇게 입력하면..

공격자는 Windows 자격 증명에 액세스 할 수 있다. 이를 이용하여 공격자가 password 파일을 최초로 생성한 시각은 언제인가? 플래그 형식은 FLAG{YYYYMMDD_HHmmss} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/695) 이번 문제는 문제화면을 캡쳐를 못했다.. B-3 문제는 공격자가 Windows 자격 증명에 엑세스 하기 위해 password 파일을 생성한 시각을 찾는것이 목표이다. 주어진 Windows 이미지의 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해보면 /admin/login 페이지에 접속한 흔적을 찾을 수 있다. 해당 패킷에서 우클릭 - Fol..

Root Me 에서 제공하는 간단한 시스템 해킹 문제 이번 문제는 powershell 에서 command injection 을 하는 문제이다. 문제 난이도를 보면 알겠지만 아주 쉽게 해결이 가능하다. 비교적 최근에 나와서 풀이수가 적은듯 하다. 아래쪽에 있는 WebSSH 버튼을 눌러 접속할 수 있다. 접속하면 갑자기 Table to dump: 라고 뜨면서 사용자 입력을 받는다. 아무렇게나 입력해 봤는데 뭔가 암호화된 듯한 password를 알려주면서 끝이난다. 맨 마지막 줄에 보면 Backup the table aaaa 라고 출력되는데 맨 뒤에 aaaa 부분이 사용자가 입력한 값을 변수로 받아 그대로 전달해 출력하는 느낌이었다. 이렇게 abcd를 입력하면 abcd가 출력된다. 이 부분에서 뭔가 장난을 칠..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/693) B-2 문제는 DLL 형태로 정상 프로세스에 기생하는 악성코드가 네트워크 정보를 수집하기 위해 powershell 코드를 최초 실행한 시각과 powershell의 PID를 특정하는것이 목표이다. 이번문제는 다시한면 sysmon 로그를 이용해 분석한다. Sysmon 로그 분석을 아주 쉽게 하기위한 Sysmon View 라는 도구가 있다. File - Import Sysmon Event logs 버튼을 눌러 아까 추출한 xml 파일을 지정해주면 된다. import 된 sysmon 로그에서 powershell 실행흔적을 검색해서 분석해본다. 202..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/691) B-1 문제는 DLL 형태로 정상 프로세스에 기생하는 악성코드가 악성 행위를 수행하는 주기를 밀리세컨즈 단위로 제출하는 것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 스크롤을 조금 내려가 보면 레지스트리 키가 추가되는 부분을 확인할 수 있었다. 여기서 문제의 DLL 파일인 netmon.dll 을 식별할 수 있었다. everything.exe 도구를 이용해 netmon...

Root Me 에서 제공하는 간단한 시스템해킹 문제 주어지는 소스코드에서 취약점을 찾아 .passwd 파일의 내용을 읽으면 된다. 아래에 있는 WebSSH 버튼을 누르면 온라인으로 문제를 풀 수 있다. 접속해서 ls -al 을 해본다. 로그인된 계정은 app-script-ch11 인데 .passwd 파일은 app-script-ch11-cracked 계정에만 read 권한이 있어 내용을 읽을 수 없다. 주어진 소스코드로 만들어진 바이너리인 ch11 을 실행시켜 본다. 소스코드 자체에서 ls 명령어를 수행하도록 되어있기 때문에 ls 명령어 수행결과가 출력될 뿐, .passwd 파일의 내용을 읽을수는 없다. 우선 /tmp 디렉토리로 이동한다. mkdir 을 통해 임의의 디렉토리를 하나 생성해준다. 파일의 내용..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/689) A-3 문제는 드랍퍼가 레지스트리 키를 수정하여 악성 DLL이 로딩되도록 했는데, 이 때 레지스트리 키가 수정된 시각과 DLL이 로드된 프로세스의 이름을 찾는것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 여기서 조금만 스크롤을 내려보면 해당 Powershell 스크립트로 어떤 레지스트리 키가 추가되는지 확인할 수 있다. netmon.dll 이 추가되는것으로 보아 이게 ..