보안맨

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 본선의 시작은 S2_VPN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 리눅스 시스템을 이미징한 것이다. 제목에서 알 수 있듯이 이 이미지는 서버 앞단에 있는 VPN 이미지이다. A-1 공격자가 웹페이지에 공격을 수행한 최초 시각과 당시 공격자 IP는 무엇인가? A-1 문제는 공격자가 웹페이지에 공격을 수행한 최초 시각과 당시 공격자 IP를 찾는것이다. Write up 다시 쓰려고 가지고 있던 이미지를 켰는데 리눅스 계정 비밀번호를 따로 메모해두지 않아서 로그인 할 수가..

웹 엑세스 로그와 관련된 포렌식 문제이다. 어떻게 보면 보물찾기랑 비슷한 느낌이다. 플래그 형식은 attacker가 사용한 CVE 공격의 넘버와 attacker 가 덮어쓴 파일의 절대경로를 쓰면 된다. 아래는 회사 인프라에 대한 diagram 이 제공되어 있는데 문제푸는데 크게 상관할 부분은 아니다. 문제에서는 access.log 파일이 주어진다. 오래전 포렌식 문제에서 많이 볼 수 있었던 유형인데 뭔가 반가웠다. access.log 파일을 열어보면 이런 내용이 들어있다. 접속자의 ip - 접속 시간 - 메소드 - 접속한 URI - 응답코드 - 응답 메세지 크기 등의 정보가 저장되어 있다. 이제 이 로그에서 공격당한 흔적을 찾으면 된다. 로그가 1,857줄 밖에 안돼서 아주 쉬운 문제이다. 로그 앞부분에..

Root Me 의 웹 서버 접근로그 포렌식 문제 문제 설명을 읽어보면 웹사이트가 공격을 당했는데, 자기들 회사의 system admin 웹 서버 로그를 볼 줄 몰라 도와달라고 한다. 목표는 어떤 데이터가 유출되었는지 찾아내는 것이다. 192.168.1.23 - - [18/Jun/2015:12:12:54 +0200] "GET /admin/?action=membres&order=QVNDLChzZWxlY3QgKGNhc2UgZmllbGQoY29uY2F0KHN1YnN0cmluZyhiaW4oYXNjaWkoc3Vic3RyaW5nKHBhc3N3b3JkLDEsMSkpKSwxLDEpLHN1YnN0cmluZyhiaW4oYXNjaWkoc3Vic3RyaW5nKHBhc3N3b3JkLDEsMSkpKSwyLDEpKSxjb25jYXQ..