CTF/ctf-d (19) 썸네일형 리스트형 [Memory] GrrCON 2015 #4 문제 풀이 해당 파일의 프로세스 구조를 살펴보았다. 살펴보다보니 아래와 같이 'iexlpore.exe' 하위에 'cmd.exe'가 실행된 모습을 볼 수 있다. 이를 통해 ie에 cmd 명령어를 이용해 악성 코드를 인젝션 한 것이라 생각하였다. 그래서 인젝션된 프로세스의 PID는 2984임을 알 수 있다. 프로세스 인젝션 공격(DDL Injection)이란? 다른 프로세스의 주소 공간 내에서 DDL을 강제로 로드시킴으로서 코드를 실행시키는 기술이다. DDL 인젝션은 외부 프로그램을 통해 다른 프로그램에 저작자가 의도하거나 예상하지 않은 영향을 미치기 위해 사용된다. 예를 들면 삽입된 코드는 시스템 함수 호출을 후킹하거나 또는 보통 방식으로는 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 잇다. 임의.. [Memory] GrrCON 2015 #2 문제 풀이 GrrCON 2015 #1번 문제에서 얻은 3196.txt 파일에서 @gmail.com으로 검색을 하면 아래와 같이 이메일 형식의 문장들을 볼 수 있다. Subject를 보면 Update Your VPN Client라 적혀 있어 아마 VPN을 업데이트 하라는 내용을 보내면서 첨부파일을 보냈을 것이다. 그래서 VPN을 검색어로 검색해보니 [Network] Sans Network Forensic[Puzzle 3] #1 문제 풀이 wireshark로 pcap 파일을 열어봤다. Apple TV Mac 주소를 찾는 것이 문제이다. 열어보니 apple.com 주소가 보여서 정보를 열어보니 MAC 주소를 쉽게 찾을 수 있었다. [Network] DefCoN#21 #4 문제 풀이 pcap 파일을 Networkminer로 열어 보았다. message 탭에 2개가 잡혀서 읽어보니 아래와 같이 Betty와 Greg가 주고받은 이메일이 있음을 알 수 있다. 첫 번째 이메일에 xml 태그가 삽입되어 있었고, 그 아래 kml 태그가 삽입되어 있었다. kml에 대해 검색을 해 보니, 'Google 어스, Google 지도 및 Google 모바일 지도와 같은 어스 브라우저 지리 데이터를 표시하는 데 사용되는 파일 형식'이라고 하였다. 그래서 kml 파일을 열어보면 지도가 나오지 않을까 생각하였다. 이메일 아래쪽에 삽입된 태그들을 복사해 봤는데 아래 쪽에 닫힌 태그들이 몇몇개 없는 것을 볼 수 있었다. 뒤쪽에 추가적인 내용이 있을것이라 생각해 wireshark로 해당 이메일을 찾아보았.. [Network] DefCoN#21 #3 문제 풀이 우선 wireshark로 pcap 파일을 열어보았다. 문제에서 전화를 확인하고 Betty와 만날 수 없다는 것을 알게 되었다고 하였다. 이 문장을 통해 음성, 영상 파일이 존재할 것이라 생각하였다. protocol을 기준으로 정렬을 한 다음에 찾아본 결과 'MP4' 파일이 존재하였다. 이를 raw 형태로 추출하였다. mp4 파일 시그니처는 '00 00 00 18 66 74 79 70'이라 하여, 그 위에 부분은 다 지우고 mp4 파일로 다시 저장을 하였다. 그러면 flag가 담겨져 있는 mp4 파일이 만들어진다. [Multimedia] 저는 플래그를 이 파일에... 문제 풀이 파일 이름이 'just_open_it'이라 적혀있었으며, jpg 파일을 열어보니 'not_the_flag_deeper'이라는 문구가 적혀 있어서 왠지 어렵지 않은 문제 같았다. 우선 HxD로 열어 jpg 파일이 맞는지 확인하였다. 파일 시그니처가 일치하여 확장자 변경은 아닌 것으로 판단하였다. 문제에서 flag 형식이 ABCTF{flag}라고 주었기 때문에 ABCTF를 검색해보았다. 이로써 쉽게 flag를 발견할 수 있었다. [Network] DefCoN#21 #2 문제 풀이 Networkminer를 이용하여 패킷을 우선 분석해보았다. Message 탭에 3개가 잡혀서 찾아보니, Greg과 Betty가 주고받은 메일이 보인다. 또한 메일 내용에서 password도 제공하고 있었다. 2개의 메일이 존재하고 마지막에는 'DCC SEND'라는 단어들이 보였다. DCC SEND에 대해 검색해보니, "IRC와 관련된 하위 프로토콜로 파일을 교환할 때 사용"이라고 나와 있었으며, DCC SEND 임을 알 수 있었다. 이를 통해, ip주소, port 번호, file size를 각각 알 수 있었다. Wireshark conversations에서 1024port를 찾아보니, 172.29.1.50, 172.29.1.55가 통신한 내용이 보인다. 819kb로 맞춘 후 raw 파일로 저.. [Disk] 이벤트 예약 웹 사이트를 운영하고... #A, #B, #C 0. 문제 1. 파일 분석 accounts, file, network, osinfo, process, weblog 폴더들이 있었다. 2. histroy 확인 우선 accounts의 history 폴더를 확인해보았다. chmod 777 명령어가 실행되어 있는 것을 볼 수 있다. '/var/www/upload/editor/image'에 모든 권한을 다 부여 한 것이다. 아마 이 경로를 통해서 악성 파일이 업로드 되었을 가능성이 크다. 3. weblog 확인 access.log에서 위의 경로를 검색해보았다. '/upload/editor/image'를 검색해보면 아래와 같이 'cmd.php' 파일이 올라간것을 알 수 있다. cmd.php를 통해 명령어를 입력하였다. 'base64'로 인코딩 되어 있는데, 이를 .. 이전 1 2 3 다음
