보안맨

이번엔 주황색(Meduim) 난이도의 네트워크 문제이다. 생각보다 풀이수가 많다. 주어진 네트워크 트래픽에서 뭔가를 찾아보라고 한다. 문제에서 주어지는 것은 ch9.pcap 파일이다. pcap 파일은 wireshark 라는 도구를 이용해 열어볼 수 있다 열어보면 이런 화면이 나오는데 일반적으로 알고있는 TCP 나 UDP 패킷은 아닌것처럼 보였다. Modem 과 Unknown 과의 통신을 보여주는데 Length 가 굉장히 짧은 모습이다. 문제에서 참고하라고 링크 걸어놓은 RFC 5724 문서를 살펴봤다. Nokia, SMS 같은 내용이 적혀있는걸로 보아 문자메세지와 관련된 패킷인가 보다. 대충 이해해보면 하나의 문자를 8bit 가 아닌 7bit 로 보내는 프로토콜인것 같다. 처음엔 각 패킷 맨 뒤에 있는 ..

PNG 파일과 관련된 스테가노그래피 문제 이전까지 블로그에서 다루지 않았던 새로운 도구로 풀어볼 수 있다. 이게 문제에서 주어지는 pngg.png 파일이다. zsteg 같은 png 스테가노그래피 도구를 이용해서 봐도 특이한 점이 보이지 않았고 HxD 로 열어서 봐도 별다른 특이한 점이 보이지 않았다. https://github.com/bannsec/stegoVeritas GitHub - bannsec/stegoVeritas: Yet another Stego Tool Yet another Stego Tool. Contribute to bannsec/stegoVeritas development by creating an account on GitHub. github.com 검색하다보니 stegoVeritas..

SSL 패킷 포렌식과 관련된 문제이다. 19th DEFCON CTF qualification 에 나왔던 문제라고 한다. 밑에 google 에 inurl:server.pem 이라고 검색해보라는 힌트도 있다. 문제에서 주어진 ch5.pcap 파일을 열어보면 이런 화면이 나온다. TLSv1 을 사용하는 패킷들이 보인다. TLS 패킷의 자세한 내용을 보려면 우클릭 - Follow - TLS Stream 을 눌러야 하는데 비활성화 되어있는 모습이다. 암호화 통신이기 때문에 Key 가 있어야 내용을 확인할 수 있기 때문이다. 힌트에 나온대로 구글에 inurl:server.pem 이라고 검색해봤다. 맨 위에 defcon 이라고 적힌 링크가 나오는데 이건 들어가보니 다른것 같고, 아래쪽에 있는 Apple Open So..

웹 엑세스 로그와 관련된 포렌식 문제이다. 어떻게 보면 보물찾기랑 비슷한 느낌이다. 플래그 형식은 attacker가 사용한 CVE 공격의 넘버와 attacker 가 덮어쓴 파일의 절대경로를 쓰면 된다. 아래는 회사 인프라에 대한 diagram 이 제공되어 있는데 문제푸는데 크게 상관할 부분은 아니다. 문제에서는 access.log 파일이 주어진다. 오래전 포렌식 문제에서 많이 볼 수 있었던 유형인데 뭔가 반가웠다. access.log 파일을 열어보면 이런 내용이 들어있다. 접속자의 ip - 접속 시간 - 메소드 - 접속한 URI - 응답코드 - 응답 메세지 크기 등의 정보가 저장되어 있다. 이제 이 로그에서 공격당한 흔적을 찾으면 된다. 로그가 1,857줄 밖에 안돼서 아주 쉬운 문제이다. 로그 앞부분에..

SIP 프로토콜과 관련한 네트워크 문제 SIP 프로토콜은 Session Initiation Protocol 의 약자로 VoIP 에서 사용하는 신호 프로토콜이다. 문제 Level 을 보면 노란색으로 표시되어 있어서 마냥 쉽지만은 않겠구나 생각했는데 황당할 정도로 쉬운 문제였다.. 이게 문제에서 주어지는 ch4.txt 파일의 내용이다. SIP 프로토콜로 어딘가에 로그인한 로그가 남겨져있는데 첫번재 줄을 보면 REGISTER, PLAIN 뒤에 숫자가 써있는걸 볼 수 있다. 이 부분이 바로 평문으로 통신된 비밀번호이다. 문제는 비밀번호를 찾는것으로 이 값을 그대로 적으면 문제가 풀린다; 원래라면 저기에 아래처럼 MD5 해시값을 넣어서 Crack 해야하는게 올바른 문제일것 같은데 너무 간단해서 정답이 아닌줄 알았..

Root Me 에서 제공하는 네트워크 패킷 포렌식 관련 문제 원래라면 더 어렵게 풀어야 했으나 많은 사람이 풀어서 그런지 의도치않게 쉽게 풀렸다. 문제에서 주어지는 것은 ch23.pcapng 파일이다. 여기서 user password 를 찾아야 한다. pcapng 파일은 패킷 캡처 파일로 Wireshark 라는 도구를 이용해 열어볼 수 있다. 파일을 열어보면 이런 화면이 나온다. 여러 패킷들이 섞여있는데 문제 제목에 나와있는 POP 프로토콜 패킷을 찾아본다. POP 프로토콜은 Post Office Protocol 의 약자로 원격 서버에서 TCP/IP 연결을 통해 이메일을 가져오는데 사용된다. 이렇게 pop 이라고 검색하면 필터링 할 수 있다. 첫번째 패킷을 우클릭한 뒤 Follow - TCP Stream..

정말 오랜만에 업로드 해보는 Root Me문제 JPG 파일과 관련된 스테가노그래피 문제이다. JPG 파일에서 숨겨진 비밀번호를 찾으면 된다. 문제에서 주어지는것인 이 파일이다. 디카프리오가 나오는 사진인데 HxD 로 파일을 열어보면 이렇게 나온다. JPG 파일의 시그니처인 FF D8 FF E0 가 맨 앞에 나오고, 잠시 뒤에 다시한번 시그니처인 FF D8 FF E0 가 나온 뒤 그뒤에 We need to go deeper 라는 문장이 나온다. 저 부분이 썸네일 부분이다. 두번째 FF D8 FF E0 부터 파일의 맨 끝까지 복사한 뒤, 새로만들기에 붙혀넣기 해서 JPG 파일로 저장해주면 썸네일이 추출되면서 그 안에 있는 플래그를 찾을 수 있다. 온라인으로도 풀 수 있다. Forensically 라는 사이트..

beginner-friendly 난이도의 포렌식 문제이다. 그런데 생각보다 어려웠는지 풀이수가 적었다. 문제에서 주어지는 것은 tarry_night.tar.gz 파일이다. 압축을 풀어보려 했더니 뭔가 잘못됐는지 압축이 풀리지 않았다. HxD 로 바로 열어봤다. 파일의 맨 첫부분이 08 AD 37 이라고 적혀있는데 .gz 파일은 파일 시그니처가 1F 8B 08 이다. 1F 8B 08 로 파일이 시작되어아 하는데 해당 부분이 짤려서 인식을 못하는것 같았다. 이렇게 맨 앞에 1F 8B 08 을 추가해줬다. 추가하고 gz 의 압축을 풀면 압축이 성공적으로 풀리고, 이젠 tar 가 남게 된다. tar 파일 역시 HxD 로 열어봤는데 뭔가 이상했다. 보통 tar 파일을 HxD 로 열면 맨 앞부분에 압축된 파일의 이..

OTF 파일과 관련된 포렌식 문제 알고보면 쉬운데 모르고보면 조금 어려웠다. 우선 OTF 는 Open Type Font 의 약자로 컴퓨터 폰트 파일이다. 위의 위키피디아에서 아주 친절하게 잘 설명해준다. 문제 설명을 읽어보면 magicNumber 와 achVendID 를 덮어썼다고 한다. 굳이 언급한 만큼 중요할것 같다. .. 하지만 사실 문제 풀때 저 두개를 모른 상태에서 풀었다. 문제에서 주어진 zip 파일을 압축풀면 이렇게 8개의 otf 파일이 나온다. 한번 클릭해봤는데 아까 덮어썼다고 해서 그런지 파일이 깨져서 열리지가 않았다. 1번 글꼴 파일을 HxD 로 열어서 살펴보다가 우연히 플래그 포맷처럼 보이는걸 발견했다. 맨 처음 본건 아래쪽에 hctf 인데 플래그포맷이 shctf{} 였기 때문에 이 ..

조금 난이도가 있었던 포렌식 문제이다. 막 엄청 어렵진 않았는데 시간이 좀 걸렸다. 문제에서 주어진 것은 starstream.vhd 파일이다. Autopsy 라는 포렌식 분석 도구를 이용해 분석을 진행했다. Add Data Source 버튼을 눌러 vhd 파일을 넣어주면 이렇게 안에 들어있는 파일들이 보인다. stream1~4 까지의 jpg 파일이 보이는데 그것과 더불에 각 jpg 파일마다 : 뒤에 뭐가 적혀있는 파일들도 보인다. 이건 ADS 영역에 숨겨진 데이터들이다. ADS 영역에 데이터를 숨겨주는 것이라고 한다. ADS는 Alternate Data Stream 의 약자로 NTFS 파일시스템에서 MAC OS와 파일시스템 호환성 유지를 위해 사용되는데 여기에 데이터를 은닉할 수 있다. 이렇게 파일을 클..