비전공자의 포렌식일기

새해에 앞서 CTF 실력이...많이 좋지 않은걸 깨닫고 나름 퀄리티 좀 있는 사이트인 Hack The Box에서 기본적으로 제공해주는 문제를 풀어보기로 결심했다...이 문제를 시작으로 포렌식 문제를 모두 풀어볼 것 이다. 문제를 보겠습니다. Suspicious traffic was detected from a recruiter's virtual PC. A memory dump of the offending VM was captured before it was removed from the network for imaging and analysis. Our recruiter mentioned he received an email from someone regarding their resume. A copy..

최근 Cyberdefenders 사이트의 포렌식 문제를 하나씩 접하는 중이여서 write-up을 작성해보려고 합니다. 문제 파일을 다운 받으면, E01로 된 디스크 이미징 파일이 주어지고 이 파일은 분할이 되어 있기 때문에 파일 1개라도 옮길 경우 분석이 불가능하다. 그리고 리눅스 포렌식이기 때문에 설명이 정확하지 않을 수 있다는 점 참고 바랍니다. 시나리오를 보겠습니다. [시나리오] This #Linux image belongs to a user who likes to play games and communicate with friends. Is there something happening under the hood? Test drive your #LinuxForensics skills and ide..

보호되어 있는 글입니다.

10월 23일 참가한 jade CTF에서 DFIR 카테고리의 문제들을 풀어봤는데, 새로운 유형을 본 것 같아 풀이를 작성하려고 한다. [LM 10] 문제를 보겠습니다. 네트워크 패킷을 분석하여 플래그를 찾는 문제이다. 패킷을 열어, HTTP object list를 열어보니 flag.txt가 보이길래 해당 패킷에 가서 데이터를 봤습니다. URL이 하나 존재하며, 링크를 타고 들어가보니까 노래가 하나 나옵니다. flag.txt는 가짜인 것으로 판별이 나서 jpg 파일들을 하나씩 카빙을 진행하였고, 사진속에 플래그 값이 있는 것을 확인할 수 있었다. [Auto CAD] 문제를 보겠습니다. 문제를 해석해보면, 이벤트에 대한 포스터를 디자인하는 작업이 주어졌습니다. 디자인 도중, 당신은 잠시 휴식을 취했고, 돌아..

2022년 10월 23일 참가했던 CTF이다. 바로 풀이를 시작하겠습니다. [Wrong Spooky Season] 문제를 한번 보겠습니다. (사진이 없어 글로 대체하겠습니다) "I told them it was too soon and in the wrong season to deploy such a website, but they assured me that theming it properly would be enough to stop the ghosts from haunting us. I was wrong." Now there is an internal breach in the `Spooky Network` and you need to find out what happened. Analyze the t..

2022년 10월 14일 오후 2시부터 15일까지 열린 DeadFace CTF에 참가하였다. (사실 기간이 지나고 포렌식 문제를 풀려고 들어간 것) 바로 롸업을 작성하도록 하겠다. Forensic [First Strike] 문제를 보겠습니다. 문제를 읽어보면, 7월 27일에 ESU 웹사이트에 사이버 공격이 있었다고 한다. 직원은 공격으로부터 데이터를 수집했으며, 이를 검토하여야 한다고 말한다. 그래서 공격이 시작된 IP 주소에 대해서 묻는 문제이다. 주어진 문제 파일은 Access.log와 Error.log가 있는데, Error.log에 들어가서 로그를 살펴 보도록 하겠다. 로그를 살펴보면, 클라이언트 165.227.73.138로부터 hostname(우리)인 143.244.178.213으로 request..

이번 시간에 분석해볼 패킷은 SANS Puzzle.pacp 파일입니다. 문제는 시나리오 기반으로 되어 있으며, 생각보다 쉽게 풀려서 글을 빠르게 쓰도록 하겠습니다. 더보기 [ 시나리오 ] Ann’s과 친구는 메신저로 중요한 음식의 비밀 레시피를 주고 받았다. 우리가 획득한 패킷을 분석하여 해당 레시피가 무엇인지 획득하고 다음과 같은 물음에 답변하여라. [ 문제 ] 1. Ann's의 친구의 메신저 이름은 무엇인가? 2. 캡쳐된 메신저 대화 중 첫번째 대화는 무엇인가? 3. Ann's가 보낸 파일의 이름은 무엇인가? 4. 당신이 추출하고자 하는 파일의 시그니처는 무엇인가? 5. 파일의 MD5 해쉬 값은 무엇인가? 6. 파일 안에는 어떤 내용이 들어있는가? 바로 문제를 풀어보도록 하겠습니다. 먼저, 와이어샤크..

이번 시간에는 무선랜으로 패킷이 잡혀있는 패킷 파일을 분석을 진행 해보도록 하겠습니다. 패킷 파일을 실행시켜 보면 암호화 된 패킷들이 보이는데 지금처럼 무선랜 환경에서의 패킷은 암호화가 된 상태로 잡히게 됩니다. 패킷들을 살펴보면 wep 프로토콜로 암호화가 된 것을 볼 수 있는데, 암호화가 된 패킷들은 크랙을 통하여 복호화를 시켜줘야 합니다. 복호화를 하기 위해서는 Aircrack-ng 프로그램이 필요한데, 복호화를 하는 순서를 보겠습니다. 일단, wep를 복호화 하기 위해서는 키가 필요합니다. WEP 암호화 키는 64bit일 경우 01:02:03:04:05 와 같이 입력을 해야 하고, 128bit일 경우에는 0102030405060607080 이런식으로 키 값이 나오는 것을 볼 수 있습니다. 먼저, F..

몇일 전, 아는 지인분에게 패킷 공부를 좀 하고싶다. 파일을 좀 달라해서 얻은 패킷 파일인 HackThePacket입니다. 난이도는 막 그렇게 어렵지 않으며, 저처럼 처음 네트워크 패킷 포렌식을 공부하는 입장에서는 간단하게 풀 수 있는 문제입니다! 문제를 한번 보겠습니다. 더보기 Telnet의 패스워드를 찾으시오. 80번 포트로 업로드 된 파일명을 찾으시오. 네이버에서 검색한 검색어를 찾으시오.(한글) 인터넷 쇼핑 중 실행된 웹쉘을 찾으시오? 찾아야 하는 문제는 총 4개로 바로 풀이를 해보도록 하겠다. Telnet의 패스워드를 찾는 문제이다. 텔넷은 인터넷이나 로컬 영역 네트워크 연결에 쓰이는 네트워크 프로토콜이다. 쉽게 말해서 네트워크 관리를 할 수 있는 프로토콜입니다. 텔넷은 패킷이 잡힐 때, Pro..

웹 서버 로그분석은 침해 사고에 있어 가장 빈번하게 일어난다. 그렇게 때문에 분석을 진행 해보았다. 웹 서버 웹 서버는 소프트웨어로 보면 웹 브라우저와 같은 클라이언트로부터 HTTP 요청을 받아 들이고, HTML 문서와 같은 웹 페이지를 반환하는 컴퓨터 프로그램이고, 하드웨어로 본다면 위에서 언급한 기능을 제공하는 컴퓨터 프로그램을 실행하는 컴퓨터이다. 웹 서버를 분석하는 이유 분석하는 이유는 다양하지만 웹 서비스를 운영하고 있는 서버 관리자라면 외부에서 어떤 요청이 들어오고 있는지, 그리고 어떤 사용자가 있는지에 대한 정보를 담고 있는 Access 로그에 관심을 가지는 것이 당연하다. 왜냐하면 사람도 마찬가지지만 본인의 물건에 누가 손을 대는 것 조차 싫어하시는 분들이 많은데 서버도 마찬가지이다. 외부..