Forensics (62) 썸네일형 리스트형 [ctf-d] A회사 보안팀은 내부직원... [ctf-d] A회사 보안팀은 내부직원... 키 포맷: yyyy/MM/dd&hh:mm:ss_yyyy/MM/dd&hh:mm:ss_filename.file_filesize .001 파일이라 7-zip 프로그램을 사용하여 압축 해제 (지금 생각해보면 굳이 압축 안 풀었어도 괜찮았을 듯) 각 폴더를 보니 app이 하나씩 있다. WebViewService.app HousekeepingLog.app MyPainting.app HarooNotes.app dayalbumlite.app Weather.app Podcasts.app Dropbox.app을 보자마자 외부 업로드 동작이랑 완전 관련이 있을 것이라고 생각함 그래서 5BB~~~~ 폴더를 계속 살펴봤다. ㅋ ㅏㅁ ㅔㄹ ㅏㅇ ㅓㅂㄹㅗㄷㅡ 라는 수상한 폴더가 있다. .. [ctf-d] 판교 테크노밸리 K기업에서... #2 [ctf-d] 판교 테크노밸리 K기업에서... #2 앞에서 예상했던 것처럼 이번 문제의 키 포맷은 시간이다. yyyy-MM-dd_hh:mm:ss History에서 #1의 플래그였던 http://www.hanrss.com/의 마지막 접속 시간을 확인해보았다. AccessedTime을 보면 2012-08-30 14:59:49가 마지막 접속 시간임을 알 수 있다. 그렇다면 플래그는 2012-08-30_14:59:49 성공! [ctf-d] 판교 테크노밸리 K기업에서... #1 [ctf-d] 판교 테크노밸리 K기업에서... #1 용의자가 가장 많이 접근한 사이트 URL과 마지막 접근 시간을 찾아야 한다. 키 포맷이 URL(http://aaa.bbb.ccc) 인 걸 봐서 #1에서는 URL을 찾는 것이고 #2에서의 키 포맷이 시간일 것 같다. 문제 파일의 Users 폴더를 보니 7ester라는 user가 있다. 7ester 유저의 로컬 파일을 보니 Microsoft 폴더가 있다. 용의자가 사이트에 접근할 때 인터넷 익스플로러를 사용한 것 같다. 인터넷 익스플로러를 분석하기 위해서는 IE10 analyzer를 사용해야 한다는 사실을 알게 되었다!! IE10 analyzer에서 파일을 열 때 .dat 파일을 사용해야 함 그래서 위의 폴더에서 .dat 형식의 파일을 찾았다. 파일 오픈에.. 프로토콜 TCP (Trasmission Control Protocol) - 연결 지향 프로토콜 - 클라이언트와 서버가 연결된 상태에서 데이터를 주고받는 프로토콜 - 반드시 연결이 형성되어야 데이터 전송이 가능 - 일련의 옥텟을 안정적으로, 순서대로, 오류 없이 교환할 수 있게 함 - 1:1 통신만 가능 - HTTP 통신, 이메일 전송, 파일 전송 등에 사용 - 3-way Handshake - SYN 패킷 전송: 연결 수행을 위한 연결 생성 - SYN/ACK 패킷 전송: 서버 연결 가능 시에 - ACK 패킷 전송: 서버로부터 SYN/ACK 패킷을 받았을 경우 UDP (User Datagram Protocol) - 비연결 지향 프로토콜 - 연결 절차를 거치지 않고 발신자가 일방적으로 데이터를 발신하는 프로토콜 - 전.. [ctf-d] 이벤트 예약 웹사이트를 운영하고... #C [ctf-d] 이벤트 예약 웹사이트를 운영하고... #C 리버스 쉘에 대한 공격자 주소를 찾아야 한다. #A에서 찾은 TCP 연결 흔적을 보면 목적지 IP가 144.206.162.21로 지정된 것을 확인할 수 있었다. 이 IP 주소가 공격자 주소일 것이라고 생각했다. 성공! [ctf-d] 이벤트 예약 웹사이트를 운영하고... #B [ctf-d] 이벤트 예약 웹사이트를 운영하고... #B 리버스쉘을 동작시키는 프로세스 ID를 찾아야 한다. #A에서 의심스러웠던 파일 경로로 찾았을 때 php 명령어를 사용하는 PID 5245가 생각났다. 성공! [ctf-d] 이벤트 예약 웹사이트를 운영하고... #A [ctf-d] 이벤트 예약 웹사이트를 운영하고... #A Key format: yyyy-MM-dd_hh:mm:ss 문제 파일을 보면 다양한 폴더가 있다. 파일을 쭉 봤다. history chmod 명령어로 권한이 모두 부여된 경로가 하나 보인다. 조금 의심스럽다... lsof 위에서 포착한 경로를 lsof 파일에서 검색해보니 www-data 사용자가 보인다. ps_eaf ps_eaf 파일에서 경로를 검색해보았다. php 명령어를 사용하는 걸 알 수 있음 PID 5245 lsof 위에서 알아낸 PID 5245를 검색해보았다. 쭉 보다보니 TCP 연결 흔적 발견 ip 주소를 찾을 수 있음 목적지 ip 144.206.162.21 access.log 경로로 파일을 살펴보았다. 처음에 /image /editor/.. [ctf-d] splitted [ctf-d] splitted 문제 파일이 압축 파일 형식 압축 파일을 보니까 pcap 파일이 있었다. 압축을 풀고 NetworkMiner로 pcap 파일을 열어보았다. 딱 봐도 수상한 flag라는 이름의 파일이 여럿 있다. 폴더를 열어서 확인을 해봤다. 다 1kb의 용량이고 압축 파일 안에 아무것도 없는데 flag[8]과 flag[17]만 4kb 용량으로 안에 psd 파일이 있었다. 찾아보니 psd 파일은 어도비 포토샵의 기본 파일 포맷이라고 한다. 그래서 해당 파일을 포토샵으로 열어봤다. 아무 것도 안 보인다 투명한 배경 위에 뭐가 있는 것 같아서 흰색 바탕 부분을 가려주었다. 플래그 등장! MMA{sneak_spy_sisters} 성공! 이전 1 2 3 4 5 6 7 8 다음
