비전공자의 포렌식일기

문제를 한번 보겠습니다. 문제에서 "바이너리" 가 동작을 했다고 한다. 그래서 파일의 유형을 한번 알아보기 위해 다음과 같은 명령어를 실행했다. file binned 그러자 파일의 유형은 ELF로써, 유닉스 계열 운영체제의 실행, 오브젝트 파일, 공유 라이브러리 또는 코어 덤프를 할 수 있게 하는 바이너리 파일입니다. 쉽게 말해서 Windows에서 .exe확장자를 가진 것이 실행파일이듯 유닉스 계열 운영체제 에서 실행파일을 담당합니다. 실행파일이니 가상환경 스냅샷을 이용해서 저장을 하고 실행을 한번 해봤습니다. ./binned 실행을 했더니 다음과 같은 에러를 발생시켰습니다. 그래서 곰곰히 생각을 해보다가...문제를 다시 읽어봤습니다. 그러자 "바이너리가 동작을 한다" 라는 문구에 관심을 기울였고, 리눅..

문제를 보겠습니다. .core파일은 처음보는 것이기에 리눅스에서 어떤 유형의 파일인지 알아봣습니다. file fore1.core core파일은 segmentaiton fault 발생 시 생성되는 core dump file입니다. ELF파일을 어떻게 분석해야 할 지 잘 모르겠어서, 찾아보니 core파일은 메모리의 내용이 기록되어 있는 파일임을 알았고, strings로 txt파일을 만들어서 열어봤습니다. 이 부분을 보면 A L E 등등 대분자로 쓰여져 있는 값을 볼 수있습니다. 규칙은 A부터 시작해서 5번째 마다 대문자가 있는 것을 확인할 수 있었습니다. 그래서 문자열을 추출해내는 파이썬 코드를 작성해서 문자열을 추출 했습니다. if문에서 왜 i-3을 했냐면은 파이썬은 제로 인덱스 체제이기 때문에 A가 4번..

문제를 보겠습니다. 문제에서 준 파일은 이미지 파일입니다. 근데 "파일시스템이 손상된 것 처럼 보입니다. 우리가 가는 곳에는 파일시스템이 필요 없습니다" 우리는 이 말을 이해를 해야합니다. 제가 이해한 뜻은 "문제를 푸는데 파일 시스템이 필요없다" 즉, 파일 시스템을 복구할 필요가 없다는 것입니다. 그래서 hxd에디터로 열어보니까 MBR이 00으로 다 NULL값으로 채워져 있었습니다. 이 값을 복구할 필요가 없다는 것이죠. 그래서 혹시나 밑으로 내려봤더니, 데이터가 있는것을 보았고 jpg 시그니처로 보이는 파일들을 찾았습니다. 카빙을 진행 하였더니, 다음과 같은 사진을 볼 수 있었습니다. 그래서 Flag라는 단어가 있길래 입력을 했더니 정답 처리가 되었습니다ㅏ..

문제를 한번 보겠습니다. 주어진 파일을 다운 받아보겠습니다. 다운을 받으니 zip파일이 하나 있어, FTK Imager로 열어봤습니다. 열어보면 out.txt와 parse파일이 하나 있는데, out.txt에는 딱히 볼게 없었고, parse에서 Key Format을 입력해봤습니다. 그러자 이런 값을 얻을 수 있었습니다. 리눅스에서 다음과 같이 명령어를 입력해도 됩니다. strings parse | grep "h4ck" FLAG : h4ck1t{T0mmy_.....}입니다.

문제를 한번 보겠습니다. zip파일을 하나 주며, 파일을 다운 받아서 FTK로 열어보겠습니다. 열어보니 비어있는 폴더들이 엄청 많은데, 이것으로 보아 리눅스 시스템이다 라는것을 알 수 있으며, 우리는 "바보 같은 사용자를 찾아" 라고 문제에 써져있기 때문에 SHADOW, PASSWD 파일을 찾아야 하며 home디렉터리에 존재하는 사용자들을 찾아봐야 합니다. 먼저 SHADOW 파일부터 보겠습니다. 경로는 다음과 같습니다. /etc/shadow root : $6$PBY4XOYn$ : 16816 : 0 : 99999 : 7 : : : ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ① 사용자 계정 ② 암호화된 패스워드( *는 막혀있는 계정이다.) ③ 패스워드 최종 수정일 ④ 패스워드 변경 전 최소사용시간 (0으로 지정하면 언..

문제를 한번 보겠습니다. 덤프 파일을 줄테니 플래그 값을 구해라고 하여서 일단 7zip으로 압축을 풀어보았다. 풀면 DMP파일이 존재하는데, 칼리로 가져가서 파일의 유형을 한 번 알아보겠습니다. file [파일명] Mini DuMP라는 파일인데, 대소문자가 섞여있는것을 보니 정상적인 덤프파일이 아닐거라는 추측에 strings로 변환을 하여 어떤 문자열로 구성되어 있는지 확인하겠습니다. strings RunMe.DMP > RunMe.txt 다음과 같이 변환 명령어를 하시고, 바로 grep명령어를 통해서 특정한 문자열만 출력을 하겠습니다. cat RunMe.txt | grep "SharifCTF" 찾을 문자열을 지정을 한 이유는 파일의 데이터가 많아 보고 싶은것만 보고 싶어서입니다. 명령어를 입력해주니 플래..

문제를 보겠습니다. 문제를 보면 내부직원이 인터넷을 통해서 내부문서를 외부로 업로드를 하였다는 것으로 보아. P2P같은 사이트에 업로드를 했다는 것을 알 수 있습니다. 주어진 파일을 가지고 문제를 풀어 보도록 하겠습니다. 파일을 다음과 같이 FTK Imager로 열게 되면 다음과 같이 root경로에 다양한 폴더들이 존재하는 것으로 보인다. 각 폴더들은 하나의 app을 가지고 있었고, 이것으로 보아 그 app을 설치할 때 받았던 고유번호인것으로 추정이 됩니다. 각 app들은 다음과 같습니다. Weather.app, CGV2.app, CNN-iPhone.app, Podcasts.app, Dropbox.app, WebViewService.app, HousekeepingLog.app, MyPainting.app..

문제를 읽어 보도록 하겠습니다. 1. 가장 많이 접근한 사이트의 URL 2. 가장 많이 접근했던 사이트의 접근 시간 주어진 파일을 FTK Imager로 마운팅 해보겠습니다. 마운팅을 하면 Users가 하나 나옵니다. 근데 URL을 구해라고 했으니까 인터넷 웹 브라우저 히스토리일것을 추측하고 어떤 웹 브라어저를 사용했는지 한번 찾아봐야 합니다. 아무리 찾아도 크롬, 엣지, 웨일, 파이어폭스 등등의 웹 브라우저는 보이지 않지만...윈도우 익스플로러만 보입니다. 막간을 이용해서 Windows internet Explorer History가 남는 경로를 보겠습니다. 이렇게 표로 분류가 될 수 있는데요, 다시 문제를 살펴보겠습니다. Users폴더안에 username으로 불릴만한게 7ester폴더밖에 없습니다. 그..

2022년 3월 6일에 pragyan CTF를 참여했습니다. 포렌식 문제를 풀어봤으며 한 문제씩 롸업을 한 번 쓰겠습니다. 문제를 한번 보겠습니다. 해석을 잘 하지 못해서 파파고를 써서 해석을 했습니다. 해석 : 프랭크는 한번도 "기술자"가 된 적이 없다. 비밀번호도 다시 쓰고 타이핑도 귀찮고 9 야드나 해요 그리고 이건 기술이 아니야, 그는 박쥐처럼 눈이 멀고 둥근 공만큼 날카로워. 패디로 가는 지름길도 모르잖아 그의 아들 데니스가 기억 보관소를 뒤지고 깃발을 재구성하는 걸 도와줘요 참고: Win7SP1x64 프로필을 사용하여 덤프를 분석하십시오. 이 문제와 관련된 모든 파일은 C 드라이브에만 있고 다른 드라이브에는 없습니다. 라는 문구가 쓰여져 있고, MemoryDump라는 이름으로 문제 파일을 하나..

이 문제는 3개로 분할되어 있기 때문에, 다 작성을 하겠습니다. 문제들을 먼저 보겠습니다. #A : 공격자가 웹 페이지 소스코드를 유출한 시간 (UTC+09:00)은? #B : 리버스 쉘(Reverse Shell)을 동작시키는 프로세스 ID(Process ID)는? (10진수) #C : 리버스 쉘(Reverse Shell)에 대한 공격자 주소(IP)는? 문제 파일을 다운 받아서 FTK로 열어보니 다음과 같은 폴더들이 있었습니다. 해당 폴더에 들어있는 파일들을 간략하게 보겠습니다. accounts : group(사용자의 그룹목록) history(사용자가 입력했었던 명령어) lastlog(마지막 접근했던 사용자 정보) last_R(로그인 상태) passwd(리눅스 계정 정보를 담은 파일) shadow(계정 ..