보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 G-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/677) G-2 문제는 공격자가 스크린 캡쳐와 클립보드 데이터 캡쳐를 위해 공격자 서버로부터 스크립트를 다운받는데, 이때의 시각과 URL을 찾는것이 목표이다. G-1 문제에서 이 두 파워쉘 스크립트를 확인했었다. 내용을 보면 각각 스크린 캡쳐와 클립보드 데이터를 훔쳐가는것을 알 수 있는데 해당 파워쉘 코드가 어디서부터 시작되었는지를 확인해야 한다. E-3 문제을 풀때 복원한 바이너리에서 문제의 원인이 되는 스크립트를 http://192.168.35.85/logout.php 에서 다운받았다는걸 확인했었다. Sysmon 로그를 통해 해당 powershel..

Root Me 에서 제공하는 쉬운 난이도의 스테가노그래피 문제 문제에서 제공되는 것은 ch3.wav 파일이다. 해당 파일을 재생해보면 삐리삐리빅 하면서 이상한 알 수 없는 소음이 들린다. 사실 이 문제는 스펙토그램 같이 wav 파일 스테가노그래피 같은 형태가 아니라 단순히 wav 파일 속도와 재생방향만 조작하면 해결할 수 있다. https://twistedwave.com/online TwistedWave Online Audio Editor TwistedWave is a browser-based audio editor. You only need a web browser to access it, and you can use it to record or edit any audio file. twistedwav..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

HackTheBox에서 제공하는 HARD 난이도의 포렌식 문제 HARD 로 분류되어있긴 하나 다른 HARD 난이도 문제들에 비해선 쉬운편이다. 문제파일은 다운로드 받으면 패킷캡쳐파일과 support.php 가 들어있다. 패킷캡쳐 파일에는 웹 서버와 통신한 내용이 들이있다. URI가 support.php 인 통신이 있는걸로 보아 이 support.php 가 문제 파일로 제공된 파일과 같은 내용인듯 하다. support.php 에는 난독화된 내용이 들이었다. 그런데 자세히 보면 그렇게 어렵게 난독화되어있지 않다. 마지막에 str_replace 하는게 고작이기 때문에 수작업으로도 깔끔하게 고칠 수 있다. $k="80e32263"; $kh="6f8af44abea0"; $kf="351039f4a7b5"; $p="..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. A-2 드랍퍼가 위치한 서버의 아이피는 무엇인가? 첫번째 문제의 풀이를 보고 오면 이해가 빠르다. (https://hackingstudypad.tistory.com/563) 두번째 문제는 드랍퍼가 위치한 서버의 아이피를 묻는다. 첫번째 문제에서 공격자에게 이메일을 받은 시간을 물었고, 그에 따라 Outlook을 실행시켜 분석을 하였다. 그 결과 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. A-1 공격자에게 이메일을 받은 시각은 언제인가? 가장 첫번째 문제는 공격자에게 이메일을 받은 시각을 묻는 문제였다. VMWare 를 이용해 이미지 파일을 실행시키면 이런 화면이 나온다. 바탕화면에 뭔가 알수없는 파일들이 들어있는데 확장자가 .rabbit 인걸로 보아 랜섬웨어에 감염당한 Windows10 시스템인듯 하다. 첫번째 문제가 이메일에 ..

간단한 png 파일 스테가노그래피 문제 스테가노그래피는 데이터를 은폐하는 기술을 말한다. 사진파일이나 음악파일 등에 비밀데이터를 숨겨서 전송하는데 사용한다. 포렌식 느낌이지만 MISC 에 분류되어 있었다. MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다. 문제에서 제공되는 physics_hw.png 파일은 이렇게 생겼다. 정말 말 그대로 물리 숙제 사진이다. 하얀 배경이라 잘 안보이지만 아래쪽을 보면 뭔가 비어있는 공간이 보인다. 처음엔 여기에 데이터를 숨겨놓은줄 알고 한참 찾았는데 여긴 아니었다. 예전에 유사한 문제를 두번정도 포스팅 한 적이 있었는데 스테가노그래피 문제에서 PNG나 BMP 파일이 주어질 경우 유용하게 쓸 수 있는게 zsteg 라는 도구가 있다. ..

드디어 H4ck3R_m4n exposed! 의 마지막 문제이다. 이번 문제는 지난번과 이어진다. (https://hackingstudypad.tistory.com/440) 지난 문제에서 주어진 hack3rm4n_exp0sed.pcapng 파일을 이용해 dataz 와 pickle_nick.png 두 파일을 추출했었다. pickle_nick.png 가 두번째 플래그였고, 나머지 dataz 파일을 이용해 세번째 플래그를 찾아야 한다. notepad++ 을 이용해 dataz 파일을 열어보니 뭔가 16진수로 된 데이터들이 들어있었다. CyberChef(https://gchq.github.io/CyberChef)에서 From Hex 레시피로 확인해보니 Base64로 인코딩된 데이터가 보였다. From Base64 ..