보안맨

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. F-1 문제는 이전 E-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/626) F-1 공격자가 피해 PC 정보를 유출하는 악성코드를 다운로드 받은 시각과 다운로드 서버의 아이피는 무엇인가? F-1 문제는 공격자가 피해 PC 정보를 유출하는 악성코드를 다운받은 시각, 그리고 다운받은 서버의 아이피를 찾는 것이다. 지..

아주아주 쉬운 리버싱 문제 사실 너무 쉬워서 리버싱이라 부르기도 좀 그렇다. 문제 풀이수가 얼마나 쉬웠는지 증명해주고 있다. 문제에서 주어지는 것은 a.out 파일이다. 문제 설명을 보면 리버싱 문제를 풀기위한 가장 파워풀한 도구가 뭔지 아냐고 물어보는데 여러 후보들이 있지만 이 문제의 경우 메모장도 그중 하나일것 같다. 메모장으로 a.out 파일을 열어서 스크롤을 조금만 내려보면 플래그가 보인다.. 플래그의 내용에 strings 가 있는걸로 보아 문제 출제자의 의도는 strings 도구를 사용하라는 것인듯 하다. 리눅스 환경에서 strings 명령어를 이용해 a.out 파일을 확인해보면 똑같이 플래그를 찾을 수 있다.

CTFlearn 의 스물아홉번째 문제 포렌식 카테고리의 문제인데 이제까지 나온 포렌식 문제가 뭔가 새롭다기 보단 기존 문제에서 조금씩만 바꿔서 올린듯한 느낌이다. 뭔가 팍팍 난이도가 올라가면 좋겠는데 그렇지 않아서 좀 지루한 느낌이 든다. https://hackingstudypad.tistory.com/266 [CTFlearn] Rubber Duck - 포렌식 / HxD / Strings CTFlearn 의 스물세번째 문제 이전까지 계속 30 ~ 60 점짜리 문제가 나오다가 갑지가 10점으로 점수가 확 떨어졌다. 잠깐 쉬어가는 느낌인듯 하다. CTFlearn 완전 초반에 풀었던 문제중에 이 문제랑 비 hackingstudypad.tistory.com 이전에 포스팅했던 이 문제와 똑같은 방법으로 풀이가 가..

CTFlearn 의 스물세번째 문제 이전까지 계속 30 ~ 60 점짜리 문제가 나오다가 갑지가 10점으로 점수가 확 떨어졌다. 잠깐 쉬어가는 느낌인듯 하다. CTFlearn 완전 초반에 풀었던 문제중에 이 문제랑 비슷한 문제가 있었다. (https://hackingstudypad.tistory.com/191) 똑같은 방법으로 풀 수 있는 문제이다. 문제에서 주어지는 RubberDuck.jpg 파일이다. 처음에는 이번 문제가 포렌식 카테고리이고, 제목이 Rubber Duck 이어서 USB Rubber Ducky 관련된 문제라고 생각했는데 전혀 아니었다.. ※USB Rubber Ducky 관련 문제는 이전에 풀이한 적 있으니 참고 (https://hackingstudypad.tistory.com/121) 그..

pdf 파일과 관련된 포렌식 문제 문제 설명을 읽어보면, classified documnet를 유출했는데, 가려진 프로젝트의 이름을 알아낼 수 있겠냐고 물어본다. 문제파일로 주어지는것은 sf703.pdf 파일이다. pdf 파일을 열어보면 이렇게 한장짜리 문서가 나온다. 유출한 TOP SECRET 문서인데 가운데에 보면 Project : 라고 되어있어 프로젝트의 이름을 알 수가 없는 상태이다. sf703.pdf 파일을 리눅스 환경으로 옮겨 strings 명령어를 이용해 살펴본다. strings 으로 입력하면 해당 파일 내에 사람이 읽을 수 있을법한 문자열들을 출력해 준다. 출력된 결과를 내리다보면 눈에 띄는 부분이 있다. 24번 오브젝트에 가보면 뭔가 이렇게 길게 Base64로 인코딩된 문자열이 나오게 된..

CTFlearn 워게임의 두번째 문제 이번 문제는 포렌식 문제이다. 1번문제는 39,000명 정도 풀었었는데 풀이수가 만 명이나 적은걸 보니 이 문제가 살짝 더 어려운가 보다. 문제 설명을 읽어보면 플래그가 어딘가에 숨어있으니 찾아 볼 수 있냐고 한다. 당연하지만 그렇게 어렵지 않게 찾을 수 있다. 주어진 URL을 클릭해서 들어가면 이렇게 작은 미니언 사진을 다운받을 수 있다. 다운받은 미니언 jpg 파일을 HxD 라는 도구를 실행시켜, 드래그 앤 드랍한다. (HxD 다운링크 : https://mh-nexus.de/en/downloads.php?product=HxD20) 그러면 이렇게 16진수로 되어있는 값들이 보인다. 이 16진수 값들은 jpg 파일의 raw data 이다. 참고로 저렇게 파일의 시작이..

간만에 재미있는 포렌식 문제였다. 문제 자체 컨셉이 어몽어스와 관련되어 있어서 재미있었던거 같다. 문제 제목인 Sussy도 어몽어스를 할 때 임포스터로 의심되는 사람에게 하는 말이라고 한다. (Suspect / 용의자) 문제 파일로는 affected-folder 와 README.txt 파일이 주어진다. README.txt 파일을 열어보면 컨셉에 충실하게 어몽어스 캐릭터가 그려져 있고, 밑에는 문제 풀 때 주의사항이 나열되어 있다. - 인터넷과 연결되어 있을 것 - 악성코드는 오로지 그것이 존재하는 폴더에만 영향을 미친다. - 폴더로 들어가서 chmod +x ./sussy-malware 명령어로 바이너리 실행 권한을 부여해라 - 행동을 관찰하기 위해 파일 탐색기를 이용해라 - 악성코드의 행위를 보여주기 위..

제목처럼 쉬운 리버싱 문제 money 라는 이름의 바이너리 파일이 주어진다. 칼리 리눅스에서 file 명령어를 통해 해당 바이너리의 정보를 확인해보면 ELF 파일임을 알 수 있다. ELF 파일은 리눅스에서 실행 가능한 EXE 파일같은거라고 생각하면 된다. 프로그램은 아주 간단하다. 내 이름을 물어보고 입력을 받는다. hello 라고 입력해봤더니 Hello hello 라고 내가 입력한 값을 그대로 에코 해준 뒤 프로그램이 종료된다. 프로그램을 조금 더 자세히 보기위해 strings 명령어를 사용해봤다. strings 명령어를 사용하면 바이너리에서 문자열을 찾아서 출력해준다. 중간에 보니 아까는 보지 못했던 문장들과 밑에 뭔가 인코딩된 값이 길게 쓰여있는걸 확인할 수 있었다. 조금 내리다가 Hello fri..

중급 난이도의 포렌식 문제 난이도가 중급이지만 너무 쉽게 풀려버렸다. 해당 문제에서는 chall.zip 이라는 압축파일이 하나 주어지게 된다. 압축을 풀어보면 이렇게 qcow2 라는 확장자를 가진 파일이 두개 나온다. 개인적으로 qcow라는 확장자를 처음봐서 검색해봤더니 QMEU에서 사용하는 디스크 이미지 파일 포맷이라고 한다. QMEW는 가상화 프로그램 중 하나이다. 디스크 이미지 파일이기 때문에 FTK Imager 프로그램으로 해당 파일을 열어볼 수 있다. File - Add Evidence Item - Image File 을 선택해주면 된다. 파일을 열어보면 Unrecognized file system 이라고 나오는데 오른쪽 하단을 보면 알겠지만 dirty bit, corrupt bit 이런식으로 ..