보안맨

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. G-1 희생자 PC에 명령 및 제어 목적으로 통신이 맺어진 시각은 언제이며 이 때 공격자 아이피와 희생자의 Local Port는 무엇인가? G-1 문제는 희생자 PC에 통신이 맺어진 시각, 그리고 그때의 공격자 IP 주소와 희생자의 Port를 찾는 것이다. 이번 문제를 풀때는 B-2 문제와 같이 Sysmon 로그를 사용했다. (https://ha..

CTFlearn에서 제공하는 프로그래밍 카테고리의 Hard 난이도 문제 이번 문제는 Hard 치고는 쉬운 편이다. 카테고리도 프로그래밍 보단 스테가노그래피에 가까운것 같다. 문제에서 주어지는 것은 1.png, 2.png 두 개의 파일이다. 이전에 블로그에서 유사한 문제를 다룬적이 있었는데 거의 그대로 하면 된다. (https://hackingstudypad.tistory.com/125) 이번 문제는 Python PIL 라이브러리를 이용해서 풀었다. PIL은 Python Imaging Library의 약자로 파이썬으로 이미지 처리를 할 수 있도록 해주는 라이브러리이다. pip install image pip install pillow 두 명령어를 이용해서 다운로드 받아주면 된다. from PIL impor..

[2021 화이트햇 콘테스트] H-1 - 포렌 2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. F-1 문제는 이전 E-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/581) F-1 랜섬웨어로 암호화된 hwp 파일을 복호화 하여라 이번 문제는 랜섬웨어 악성코드로 암호화된 hwp 파일을 복호화 하는 문제였다. 이미지 내에 있는 수많은 암호화된 파..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. E-1 문제는 이전 D-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/580) E-1 랜섬웨어 악성코드를 다운로드 하는 URL은 무엇인가? E-1 부턴 윈도우 이미지에서 가장 먼저 눈에 띄었던 랜섬웨어 악성코드에 대해 조사한다. 랜섬웨어를 다운로드 하는 URL을 찾는 것인데 지난번 D-1 문제에..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. D-1 문제는 이전 C-3에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/578) D-1 자동 실행 악성코드가 추가 페이로드를 다운로드 받는 아이피와 파일 경로는 무엇인가? D-1 은 자동 실행 악성코드가 추가 페이로드를 다운받는 서버 주소와 해당 파일의 경로를 찾는 문제이다. 자동 실행 악성코드는..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-3 문제는 이전 C-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/577) 지난번 문제에선 hwp 파일의 postscript 를 분석해 \\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 에 IIsExt.vbs 파일이 생성된다는 것을 알았고, 파일 속..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-2 문제는 역시나 이전 C-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/576) C-2 드랍퍼가 자동 실행 악성코드를 파일 시스템에 최초로 생성한 시각은 언제인가? C-2 문제는 자동실행 악성코드가 최초로 생성된 시각을 물어본다. 지난번 C-1 문제에서 PostScript 를 분석해 자동 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. C-1 문제는 역시나 이전 B-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/569) B-1 문제에서는 A-3에서 발견한 3분기-취약점-조치권고.hwp 파일을 분석했었다. C-1 드랍퍼가 생성한 자동실행 악성코드의 파일명은 무엇인가? C-1은 드랍퍼가 생성한 자동실행 악성코드의 파일명을 찾는것이..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. B-2 문제는 이전 B-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/569) B-1 문제에서는 A-3에서 발견한 3분기-취약점-조치권고.hwp 파일을 분석했었다. B-2 드랍퍼가 취약점을 최초 발현한 시각과 취약점의 원인이 되는 바이너리의 파일명은 무엇인가? B-1 문제에서 hwp 내에 있는 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. B-1 문제는 이전 A-3에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/567) download.html 으로 접근하면 3분기-취약점-조치권고.hwp 파일이 자동으로 다운로드 되는것을 확인했었다. 이렇게 실제 파일이 떨어지게 된다. 이게 문제에서 의미하는 드랍퍼 인듯 하다. B-1 드랍퍼에서 획득..