보안맨

[E-5] 공격자가 가장 첫번째로 유출한 파일의 SHA1 해시는? 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/718) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. Sysmon View 도구를 이용해 피해 윈도우 이미지의 sysmon 로그를 분석하다보면 powershell 실행기록 중 PID 가 4564인 로그를 찾을 수 있다. BASE64 인코딩된 명령어가 실행되었는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/712) E-2 문제는 공격자가 호스트에 침투한 Windows 서비스 중 하나를 조작하여 악성코드를 설치했는데, 해당 악성코드의 해시 값과 다운로드된 URL를 특정하는 것이 목표이다. 이미지를 분석하다 보면 cli_mgr.ps1 파워쉘 스크립트를 찾을 수 있다. 해당 스크립트의 내용은 위와 같은데 http://15.165.18.103/api 로부터 C:\Windows\System32\FXSSVC.dll 파일을 다운로드 받는것을 확인할 수 있다. 실제로 prob_b 이미지에서 해당 경로에 가보면 FXSSVC.dll 이 있는걸 볼 수 있다. 혼자만 수정한..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/708) D-2 문제는 공격자가 무력화 한 도구를 실행하면 악성코드가 대신 실행되는데, 해당 악성코드가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 이전문제에서 난독화를 풀었던 파워쉘 코드를 사펴보면 http://15.165.18.103/gmae 에서 dd.exe 를 다운받아 무력화한 도구를 실행시켰을 때 dd.exe가 대신 실행되도록 하는것을 볼 수 있다. sysmon view를 이용해 sysmon 로그에서 dd.exe를 찾아준다. 상세내용을 확인해보면 최초 실행시각과 PID를 확인할 수 있다. 따라서 이번 문제의 플래그는 FLAG{1251..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/706) D-1 문제는 공격자가 분석관의 분석 도구를 무력화시키기 위해 안티포렌식 기법을 적용하였는데, 이때 무력화 된 도구를 알파벳 순으로 나열하는것이 목표이다. 이번문제는 C-1 에서 나왔던 파워쉘 스크립트를 이용해 해결할 수 있다. C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine 경로에 ConsoleHost_histroy.txt 파일내에서 해당 로그를 찾을 수 있었고 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.E..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/703) C-2 문제는 공격자가 탐지를 회피하기 위해 MAC 타임을 수정했는데, 이를 위해 스크립트가 최초 실행된 시각과 powershell 의 PID를 찾는것이 목표이다. sysmon view 도구를 이용해서 sysmon 로그를 분석해 powershell 실행이력을 찾았다. 그 중 하나에서 Base64 인코딩된 파워쉘 스크립트를 실행시킨 흔적을 볼 수 있었다. $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-5 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/701) C-1 문제는 공격자가 두번째 호스트로 이동하기 위해 PC에 생성한 작업의 이름을 찾는것이 목표이다. 침해사고 당한 Win10 이미지를 조사하다가 C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine 경로에 ConsoleHost_histroy.txt 파일을 찾았다. 해당 파일은 파워쉘 명령어 실행 기록이 저장되는데 열어서 내용을 확인해보니 Base64 인코딩된 파워쉘 명령어들을 찾을 수 있었다. $base64EncodedString = "여기에_Base64_문자열_입력";..

공격자는 Windows 자격 증명에 액세스 할 수 있다. 이를 이용하여 공격자가 password 파일을 최초로 생성한 시각은 언제인가? 플래그 형식은 FLAG{YYYYMMDD_HHmmss} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/695) 이번 문제는 문제화면을 캡쳐를 못했다.. B-3 문제는 공격자가 Windows 자격 증명에 엑세스 하기 위해 password 파일을 생성한 시각을 찾는것이 목표이다. 주어진 Windows 이미지의 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해보면 /admin/login 페이지에 접속한 흔적을 찾을 수 있다. 해당 패킷에서 우클릭 - Fol..

Root Me 에서 제공하는 간단한 시스템 해킹 문제 이번 문제는 powershell 에서 command injection 을 하는 문제이다. 문제 난이도를 보면 알겠지만 아주 쉽게 해결이 가능하다. 비교적 최근에 나와서 풀이수가 적은듯 하다. 아래쪽에 있는 WebSSH 버튼을 눌러 접속할 수 있다. 접속하면 갑자기 Table to dump: 라고 뜨면서 사용자 입력을 받는다. 아무렇게나 입력해 봤는데 뭔가 암호화된 듯한 password를 알려주면서 끝이난다. 맨 마지막 줄에 보면 Backup the table aaaa 라고 출력되는데 맨 뒤에 aaaa 부분이 사용자가 입력한 값을 변수로 받아 그대로 전달해 출력하는 느낌이었다. 이렇게 abcd를 입력하면 abcd가 출력된다. 이 부분에서 뭔가 장난을 칠..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/689) A-3 문제는 드랍퍼가 레지스트리 키를 수정하여 악성 DLL이 로딩되도록 했는데, 이 때 레지스트리 키가 수정된 시각과 DLL이 로드된 프로세스의 이름을 찾는것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 여기서 조금만 스크롤을 내려보면 해당 Powershell 스크립트로 어떤 레지스트리 키가 추가되는지 확인할 수 있다. netmon.dll 이 추가되는것으로 보아 이게 ..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/683) A-2 문제는 드랍퍼가 특정 악성코드를 10분에 1회 실행하도록 등록했는데 해당 악성코드의 해시와 다운로드 URL을 알아내는 것이 목표이다. 지난 A-1 문제에서 드랍퍼가 msedge.exe 파일인 것을 확인했었다. 해당 파일은 다운로드 폴더 안에 있는 이 파일인데 HxD를 이용하여 해당 파일을 열어봤더니 중간 부분부터 Base64 인코딩된 문자열 같은게 보였다. CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 한 뒤 Base64 디코딩을 한번 더 해주면 Powers..