보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/647) B-3 문제는 공격자가 악성 행위를 위해 다운로드 받는 도구 모음(tar)의 sha1 해시값을 구하는 것이 목표이다. 문제 해결에는 Sysmon 로그를 이용했다. 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기본..

247CTF 에서 제공하는 간단한 버퍼오버플로우 문제 문제에서는 hidden_flag_function 바이너리 파일과 원격 접속 주소가 제공된다. IDA 를 이용해 해당 바이너리를 열어봤을 때 flag, chall, main 세 함수가 정의되어 있었다. main 함수에서는 chall 함수를 호출하고 있고 chall 에서는 scanf로 사용자의 입력을 받는다. v1 의 크기가 68인데 입력값 범위를 체크하지 않아 버퍼오버플로우가 가능해 보인다. 마지막 flag 함수는 서버 내부의 flag.txt 파일을 불러와 내용을 출력해주는데 어디서도 호출하고 있지 않아 실행되지 않는 함수이다. 버퍼오버플로우를 통해 리턴 주소를 변경시켜 flag 함수가 실행되도록 만들어야 한다. pwndbg를 이용해 바이너리를 분석한다..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/644) B-2 문제는 악성코드를 다운받는 공격자 서버의 종료와 버전을 알아내는 것이 목표이다. 이전 문제에서 악성 스크립트가 실행되었던 시각을 프리패치의 WSCRIPT 의 Last Run Time 를 통해 확인했었다. 악성코드를 다운받은것은 이 시간 이후일 것이기 때문에 시간을 기준으로 잡고 분석을 진행했다. 제공된 Win10 이미지에서 바탕화면의 Log 폴더에 들어가면 pcapng 파일들이 있는것을 볼 수 있다. 이중 첫번째 1.pcapng 파일을 통해 시간을 알 수 있다. 스크립트가 실행된 2022-10-13 18:50:40 근처의 패킷을 살펴보..

247CTF 에서 제공하는 MODERATE 난이도의 암호학 문제 XOR 과 관련된 문제이다. 문제에서 제공되는 것은 my_magic_bytes.jpg.enc 파일이다. 해당 파일의 내용을 보면 전혀 무엇인지 알 수 없는 상태로 암호화가 되어있다. 문제 설명에 나와있듯이 어떤 키값으로 XOR 되어있기 때문이다. .jpg.enc 라는 확장자를 통해 암호화 되기 전에는 jpg 파일이었음을 알 수 있다. 키 값을 찾아내기 위해서는 jpg 파일이 기본적으로 가지는 특징들을 이용해야 한다. jpg XOR key = enc 라면 end XOR jpg = key 이기 때문이다. 가장 쉽게 확인할 수 있는 것은 jpg 파일의 시그니처이다. 파일마다 조금씩 다르긴 하지만 어떤 jpg 파일들은 FF D8 FF E0 00 1..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. IMPOSSIBLE NUMBER 라고 하는것을 보니 정수 오버플로우와 관련되었음을 직감할 수 있다. 예전에 비슷한 문제를 다뤘었다. (https://hackingstudypad.tistory.com/619) 문제에서 제공되는 C 코드는 이렇다. impossible_number 를 입력받는데 impossible_number 이상이고, impossible_number 가 impossible_number + 1 보다 커야한다는 조건이 걸려있다. 상식적으로 이런 숫자는 없지만 C언어의 int형을 사용하기 때문에 이 문제는 아주 쉽게 해결할 수 있다. int 형의 경..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/641) B-1 문제는 공격자가 사용한 드랍퍼 악성코드를 분석하여 피해 호스트에 설치된 악성코드에 대해 파악하는 것이었다. 플래그는 초기 침투에 사용한 파일과, 해당 파일에 담겨있던 스크립트가 최초 실행된 시각을 찾아서 쓰면 된다. 지난 문제에서 Sysmon View 도구를 이용해 Sysmon 로그를 분석했을 때, HOffice2022_Viewer.exe 파일로부터 io_.vbs 파일이 생성되었다는 것을 알 수 있었다. 따라서 초기 침투에 사용된 파일은 HOffice2022_Viewer.exe 이고, 이 파일에 담겨있던 스크립트가 io_.vbs 인데 ..

247CTF 에서 제공하는 EASY 난이도의 MISC 문제 MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제페이지에 접속하면 VIM 편집기 화면이 나온다. 이 화면을 벗어나서 터미널로 이동해야하는 느낌이다. :wq! 를 입력해서 강제 종료를 시도해보면 No file name 에러나 나면서 종료가 되지 않는다. 뭔가 종료할 수 있는 다른 방법을 찾야아 한다. VIM 편집기에서는 터미널로 나올 수 있는 다른 방법이 있다. :shell 이라고 명령어를 입력하게 되면 이렇게 터미널로 나갈 수 있다. ls -al 명령어를 쳐보면 run_for_flag 파일이 있는것을 확인할 수 있고 해당 바이너리를 실행시키면 플래그를 확인할 수 있다.

2022 화이트햇 콘테스트 예선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 공격자가 유포한 악성코드를 판별하는것이 목표였다. 이번 문제는 qual_prob_vm_win10.vmx 이미지를 이용해 해결하면 된다. 이미지를 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기..

247CTF에서 제공하는 네트워크 패킷 분석과 관련된 문제 기존에 블로그에서 다뤘던 문제 유형과 크게 다르지 않은 쉬운 문제이다. (https://hackingstudypad.tistory.com/495) 문제에서 주어지는 것은 error_reporting.pcap 파일이다. 해당 파일을 Wireshark 로 열어볼 수 있는데 열어보면 맨 위에 하나만 ICMP request 패킷이고 나머지는 ICMP reply 패킷인 것을 볼 수 있다. reply 패킷에 전송될 데이터가 숨겨져 있는 느낌이다. 두번째 패킷을 선택해 data.data 영역을 보면 ff d8 ff e0 로 시작하는것을 볼 수 있다. FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. JPG 파일을..

코드게이트 대회 이후 진행된 코드게이트 해킹 시연 동영상 공모전에 제출했던 동영상이다. 결론적으로 수상은 못했지만 만들어놨는데 묵혀두기 아까워서 블로그에 업로드한다. 해킹 시연 동영상 주제를 뭘로 할까 생각하다가 공모전 문구에 있는 '특히 초급 영상을 환영합니다' 라는 부분을 보고 CODEGATE2022 웹해킹 1번 문제였던 CAFE 의 풀이과정을 동영상으로 만들어 보면 어떨까 싶었다. https://clovadubbing.naver.com/ 클로바더빙 동영상에 보이스를 더하다. 원하는 문장을 입력만 하면 생생한 AI 더빙이 뚝딱. clovadubbing.naver.com 더빙은 어떻게 해야하나 찾아보다가 네이버에 클로바 더빙이라는 좋은 서비스가 있어서 해당 서비스를 이용해 더빙을 만들어 제작했다. 최대..