보안맨

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Packet 문제에서는 세 가지 파일이 주어진다. client.py / server.py / simple_packet.pcapng 파일이다. #!python3 from socket import * import sys def do_xor(data): key = b"\x10\x07\x19" return bytearray([data[i] ^ key[i%3] for i in range(len(data))]) if len(sys.argv) != 2: print('[-] usage : {}..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Simple Memory 문제 문제 제목처럼 간단한 메모리 포렌식 문제였다. 문제파일로는 mem.raw 파일이 주어진다. 메모리포렌식 문제를 풀 때는 Volatility 라는 도구를 사용한다. 이 분야에서 거의 독보적인 툴이다. https://www.volatilityfoundation.org/releases Release Downloads | Volatility Foundation Volatility releases are the result of significant in-depth re..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Keyboord 문제에서는 keyboord.pcap 라는 이름의 파일이 제공된다. pcap 파일은 Wireshark 라는 도구를 이용해 열어볼 수 있다. Wireshark로 열어보면 이련 화면이 나온다. Protocol 에 USB 라고 적혀있고, 문제 제목이 Keyboord 인것으로 유추해 볼 때 이 패킷은 USB 키보드를 사용한 통신 흔적인것을 알 수 있다. 와이어샤크로 USB 키보드 데이터를 분석할 때 눈여겨 봐야하는 부분은 Info 부분이 URB_INTERRUPT in 이라고 되어있는 ..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. 그중 Simple Carv 문제 disk.img 파일이 주어진다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양이 가운데 있는것을 볼 수 있다. 이런 이미지 파일들은 FTK Imager 라는 도구를 이용해 열어볼 수 있다. FTK Imager..

2020년에 진행된 국정원 주최 사이버공격방어대회 오랫동안 컴퓨터에 당시 문제들을 묵혀놨다가 이제야 풀이 포스팅을 해본다. 당시는 거의 이런 대회에 나가본게 처음이라, 시간에 쫒겨서 캡쳐를 제대로 못한 부분이 많다. Shark Me 문제 알려지지 않은 해커가 비밀문서를 유출했다고 한다. 유출된 파일을 찾는것이 목표이다. 문제파일로 sharkme.pcapng 파일이 주어진다. 해당 파일은 Wireshark 라는 도구로 열어볼 수 있다. Wireshark로 열어보면 이렇게 패킷을 주고받은 내용을 볼 수 있다. 패킷이 16121개로 그냥 보기엔 좀 많아서 메뉴의 Statistics - IPv4 Statistics - Destinations and Ports 버튼을 눌러 대략적인 내용을 살펴보았다. 조금 내려보..

CTFlearn의 서른한번째 문제 이번에는 Medium 난이도의 포렌식 문제이다. 이제부턴 점점 Easy 난이도의 문제 비중이 줄어들고 있다. 문제를 풀고나니 눈에 들어오는게, 이 문제의 작성자가 hazzy 라는 아이디를 가진 사람인데, 작성자 이름이 아주 큰 힌트였다. 주어진 주소로 접속하면, flag (4) 라는 이름의 파일을 다운받을 수 있다. 문제 설명에도 쓰여있는데 이 flag (4) 파일을 HxD로 열어보면 패킷 덤프 파일인것을 확인할 수 있다. 이런 패킷 덤프 파일은 Wireshark 라는 도구로 열어볼 수 있다. 와이어샤크를 실행시켜서 파일을 드래그 앤 드롭하면 이렇게 패킷을 볼 수 있다. 1번 패킷부터 뭔가 UDP로 데이터를 잔뜩 전송하는 모습이 보인다. 자세히 보기위해 UDP 패킷에서 ..

CTFlearn 의 스물아홉번째 문제 포렌식 카테고리의 문제인데 이제까지 나온 포렌식 문제가 뭔가 새롭다기 보단 기존 문제에서 조금씩만 바꿔서 올린듯한 느낌이다. 뭔가 팍팍 난이도가 올라가면 좋겠는데 그렇지 않아서 좀 지루한 느낌이 든다. https://hackingstudypad.tistory.com/266 [CTFlearn] Rubber Duck - 포렌식 / HxD / Strings CTFlearn 의 스물세번째 문제 이전까지 계속 30 ~ 60 점짜리 문제가 나오다가 갑지가 10점으로 점수가 확 떨어졌다. 잠깐 쉬어가는 느낌인듯 하다. CTFlearn 완전 초반에 풀었던 문제중에 이 문제랑 비 hackingstudypad.tistory.com 이전에 포스팅했던 이 문제와 똑같은 방법으로 풀이가 가..

CTFlearn 의 스물여덟번째 문제 이번엔 Medium 난이도의 포렌식 문제이다. 문제에서 주어진 주소로 접속해보면 이렇게 오레오 하나 가 있는 사진을 다운받을 수 있다. HxD 프로그램을 이용애 oreo.jpg 파일을 열어보면 맨앞이 FF D8 FF E0 로 시작하는걸 볼 수 있다. 이렇게 파일 맨 앞에 써있는걸 파일 시그니처 라고 하는데 FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. JPG 파일의 또다른 특징은 끝날때 무조건 FF D9 로 끝난다는 것이다. HxD 에서 ctrl + f 를 눌러 FF D9 를 검색해서 찾아가보면 FF D9에서 파일이 끝나지 않고, 뒤에 데이터가 더 있는것을 볼 수 있다. 사진파일 뒤에 데이터가 더 숨어있는 것이다. 맨 앞에 적혀있는게 Rar! 인것을 ..

CTFlearn 의 스물일곱번째 문제 포렌식 문제인데, 갑자기 또 점수가 10점으로 확 내려갔다. 문제 설명을 읽어보면 keyword 는 hexdecimal 이고, 불필요한 H.E.H.U.H.E 를 지우면 된다고 한다. 무슨 말인지 모르겠으니 일단 문제파일을 받아 본다. 문제에서 주어지는 파일은 file 이라는 바이너리 파일이다. 해당 파일을 HxD를 이용해 열어보니 맨 앞에 ELF 라는 단어가 보였다. 해당 파일은 ELF 파일로, 리눅스에서 실행가능한 실행파일이다. HxD로 열어본 김에 조금 더 내려봤는데 바로 CTFlearn 라고 플래그 포맷이 보였다. 그런데 중간중간에 이상한 글자가 있어서 어디까지가 명확하게 플래그인지 구분이 안됐다. 혹시 실행시키면 뭐가 나올까 싶어서 리눅스 환경에서 실행시켜 봤..

CTFlearn의 스물여섯번째 문제 이번 문제는 다시 점수가 낮은 포렌식 문제이다. 문제 제목에 snow가 들어가고 jpg 파일이 주어지는걸로 봐서 stegsnow 라는 도구를 사용하는 스테가노그래피 문제인줄 알았는데 아니었다.. https://hackingstudypad.tistory.com/266 이전에 풀었던 이 문제랑 별로 다를바 없는 문제이다. 점수만 10점 더 높다. 이게 문제에서 주어지는 Snowboard.jpg 파일이다. 참 정직한 제목이다. 주어진 Snowboard.jpg 파일을 HxD 라는 도구를 실행시켜, 드래그 앤 드랍한다. (HxD 다운링크 : https://mh-nexus.de/en/downloads.php?product=HxD20) 그러면 위처럼 16진수로 되어있는 값들이 보인..