보안맨

CTFlearn의 서른한번째 문제 이번에는 Medium 난이도의 포렌식 문제이다. 이제부턴 점점 Easy 난이도의 문제 비중이 줄어들고 있다. 문제를 풀고나니 눈에 들어오는게, 이 문제의 작성자가 hazzy 라는 아이디를 가진 사람인데, 작성자 이름이 아주 큰 힌트였다. 주어진 주소로 접속하면, flag (4) 라는 이름의 파일을 다운받을 수 있다. 문제 설명에도 쓰여있는데 이 flag (4) 파일을 HxD로 열어보면 패킷 덤프 파일인것을 확인할 수 있다. 이런 패킷 덤프 파일은 Wireshark 라는 도구로 열어볼 수 있다. 와이어샤크를 실행시켜서 파일을 드래그 앤 드롭하면 이렇게 패킷을 볼 수 있다. 1번 패킷부터 뭔가 UDP로 데이터를 잔뜩 전송하는 모습이 보인다. 자세히 보기위해 UDP 패킷에서 ..

Root Me 에서 제공하는 네트워크 문제 엄청 쉬운 문제인데.. 정답이 뭔가 일반적인 CTF 답 형식과 달라서 답을 찾아놓고도 답이 아닌줄 알아 푸는데 시간이 좀 걸렸다.. Time To Live 란 컴퓨터 네트워크에서 패킷의 유효기간을 나타내는 역할을 한다. 패킷이 네트워크에서 무한정 떠도는것을 막기 위해 설정하는 것이다. 이렇게 ping 명령어를 쳐보면 바로 확인할 수 있는데 맨 끝에 있는 TTL 이 바로 Time To Live 의 약자이다. 윈도우는 기본적으로 TTL 값이 128 이고, 리눅스는 64로 설정되어 있다. 라우터를 거칠때마다 1씩 줄어들어 TTL 값이 0 이 되면 패킷이 폐기되는 방식이다. 문제에서 주어지는 파일은 ch7.pcap 파일이다. 문제의 목표는 targeted host에 도..

CTF를 통해 처음 경험해보는 유형의 네트워크 포렌식 문제였다. 문제 자체는 그렇게 어렵지 않고 신기하고 재미있었다. 문제 설명 부분이 뭔가 맘에 든다. Slience is gold. I listen to every move on this network. 네트워크 사용에 있어서 경각심을 빡 하고 주는 좋은 문구인거 같다. 문제파일로 주어지는것은 Chall.pcapng 파일이다. pcapng 파일은 Wireshark 라는 도구를 이용해 열어볼 수 있다. 와이어샤크로 열어보면 처음엔 이상한 알 수 없는 패킷들이 많이 보인다. 조금만 밑으로 내려서 22번 패킷으로 가면 문제 제목에 써있는 TACACS+ 라는 프로토콜로 통신한 흔적이 보인다. 처음 들어본 프로토콜이었는데, Terminal Access Contr..

Root Me의 다섯번째 네트워크 패킷 포렌식 문제 이번엔 블루투스와 관련된 문제이다. 문제설명을 읽어보면 NSA 에서 근무하는 친구가 해커의 컴퓨터에서 읽을 수 없는 파일을 찾았는데, 알 수 있는 정보는 오로지 컴퓨터와 휴대폰 사이의 통신이라고 한다. 정답은 MAC 주소와 휴대폰 이름을 합한것의 SHA-1 해시값이라고 한다. 아래쪽에 친절하게 정답 예시도 보여주고 있다. 문제에서 주어진 파일은 ch18.bin 파일이다. 일단 네트워크 패킷 포렌식에 관련된 문제이고, 또 문제 설명에서 컴퓨터와 휴대폰 사이의 통신을 언급했으므로 Wireshark 프로그램을 이용해서 파일을 열어본다. 와이어샤크 실행 후 ch18.bin 파일을 드래그 & 드롭 하면 위처럼 패킷 내용이 잘 보이게 된다. 패킷 총 갯수가 27개..

네트워크 패킷 포렌식 문제 문제 제목이 좀 당황스러운데 관용어로 아주 귀찮은 것을 뜻한다고 한다. 실제로 문제 풀이를 보면 그렇게 어렵진 않은데 아주 귀찮다.. 문제 설명을 보면 어떤 사람이 데이터베이스를 덤프한것 같다고 한다. 그래서 어떤 자료들이 유출되었는지 알아봐달라고 요청한다. 주어지는 문제파일은 pain-in-the-ass.pcapng 파일이다. pcapng 파일은 Wireshark 라는 도구를 이용해서 열어볼 수 있다. 와이어샤크로 패킷파일을 열어보면 여섯번째 패킷부터 바로 실마리가 보인다. PostgreSQL 패킷 흔적이 보이는데 username이 d4rk2phi 인 계정의 비밀번호를 알아내기 위해 Blind SQL Injection 공격을 시도하고 있는 모습이 보인다. Blind SQL I..

Root Me에서 제공하는 네트워크 패킷 포렌식 네번째 문제 이번 문제는 Twitter 인증정보와 관련이 있다. 물론 문제를 위해 일부러 취약하게 만들어 놓은거지 실제 트위터가 이렇게 취약하진 않다. 문제의 목표는 캡쳐된 트위터 인증 세션에서 유저의 비밀번호를 찾아내는 것이다. 문제에서 주어지는것은 ch3.pcap 파일이다. pcap 파일은 와이어샤크 라는 도구를 이용해서 열어볼 수 있다. (설치링크 : https://www.wireshark.org/download.html) Wireshark 도구를 이용해 ch3.pcap를 열어보면 패킷이 딱 하나 있다. 네트워크 패킷 포렌식 문제를 풀면서 이렇게 친절한 문제는 처음봤다... 감동.. (보통은 수천 수만개 패킷 사이에서 의심되는 패킷을 찾는 방식이다.)..

Root Me의 세번째 네트워크 포렌식 문제 처음 문제를 딱 보고 나서 조금 생소할수도 있겠다고 느꼈는데 생각보다 많은 사람들이 풀었다. 문제의 목표는 confidential data 를 찾는것이다. 문제 파일로 주어지는건 ch12.txt 파일이다. ch12.txt 파일의 내용을 보면 위처럼 16진수 숫자들이 적혀있는것을 볼 수 있다. 일단 저렇게 써있으면 알아볼 수가 없으니 가독성을 위해 ASCII 값으로 바꿔보았다. 디코딩하는데는 HxD 라는 도구를 이용했다. ch12.txt 파일의 값을 복사한 뒤 HxD에 그대로 붙여넣기 하면 오른쪽에 디코딩된 텍스트가 나오게 된다. GET 메소드를 사용해 웹에 접속한 흔적이 보이는데 중간에 Authorization: Basic Y29uZmk6ZGVudGlhbA==..

root me의 두번째 네트워크 패킷 포렌식 문제 이번에 사용되는 프로토콜은 telnet이다. 이번문제도 비슷하게 텔넷 패킷 안에서 사용자의 비밀번호를 알아내면 된다. 문제에서 제공되는 파일은 ch2.pcap 파일이다. pcap 파일은 와이어샤크 라는 도구를 이용해서 열어볼 수 있다. (설치링크 : https://www.wireshark.org/download.html) ch2.pcap 파일을 열어보면 위처럼 TELNET 프로토콜을 이용해 데이터를 전송한 흔적을 찾을 수 있다. 텔넷은 TCP/IP 에서 응용계층 프로토콜 중 하나로 원격지의 컴퓨터에 접속할때 주로 사용한다. 텔넷이 1969년 처음 개발되었는데, 이때는 보안에 대한 고려가 전혀 없었기때문에 아주 많은 취약점이 존재한다. TELNET 패킷 중..

root me에서 제공하는 네트워크 패킷 포렌식 첫번째 문제 풀이수가 77,790이나 된다. 아마 root me에서 풀이수가 제일 많은 문제이지 않을까 싶다. 문제는 FTP 프로토콜을 이용한 사용자의 비밀번호를 알아내는것이 목표이다. 문제에서 제공되는 파일은 ch1.pcap 파일이다. pcap 파일은 와이어샤크 라는 도구를 이용해서 열어볼 수 있다. (설치링크 : https://www.wireshark.org/download.html) ch1.pcap 파일을 열어보면 위처럼 FTP 프로토콜을 이용해 데이터를 전송한 흔적을 찾을 수 있다. FTP는 File Transfer Protocol 의 약자로 TCP/IP 프로토콜을 이용해 서버와 클라이언트 사이에서 파일을 전송하기 위한 규약이다. 만들어질때 보안을 ..

네트워크 패킷 포렌식 문제 문제 설명을 읽어보면 배끼리 통신하는걸 가로챘다고한다. 여기서 메세지를 찾아낼 수 있냐고 물어본다. s2s.pcapng 패킷파일이 하나 주어진다. Wireshark 프로그램을 이용하면 pcapng 파일을 열어볼 수 있다. 조금 살펴보니 초반에는 딱히 의미있는 패킷이 보이지 않는 것 같다. 조금 내리다가 보니 수상한 패킷을 하나 발견했는데 프로토콜이 MQTT 라고 되어있다. MQTT는 Message Queuing Telemetry Transport 의 약자로 TCP 기반으로 동작하는 메세징 프로토콜이다. 보통 아두이노 같은 임베디드/IoT 장치에서 통신을 위해서 사용한다고 한다. 해당 패킷을 조금 더 자세히 보기 위해서 우클릭 - Follow - TCP Stream을 눌러준다. ..