비전공자의 포렌식일기

이 문제는 3개로 분할되어 있기 때문에, 다 작성을 하겠습니다. 문제들을 먼저 보겠습니다. #A : 공격자가 웹 페이지 소스코드를 유출한 시간 (UTC+09:00)은? #B : 리버스 쉘(Reverse Shell)을 동작시키는 프로세스 ID(Process ID)는? (10진수) #C : 리버스 쉘(Reverse Shell)에 대한 공격자 주소(IP)는? 문제 파일을 다운 받아서 FTK로 열어보니 다음과 같은 폴더들이 있었습니다. 해당 폴더에 들어있는 파일들을 간략하게 보겠습니다. accounts : group(사용자의 그룹목록) history(사용자가 입력했었던 명령어) lastlog(마지막 접근했던 사용자 정보) last_R(로그인 상태) passwd(리눅스 계정 정보를 담은 파일) shadow(계정 ..

문제를 한번 보겠습니다. jpg 파일을 하나 줍니다. 다운을 받아 실행 시켜 봅시다. 실행이 잘 되는것으로 보아, 헤더 시그니처나 푸터 시그니처는 정상적으로 작동하는 것을 볼 수 있다. 그래서 Hxd에디터로 열어서 ABCTF를 입력했는데, 이런식으로 플래그 값을 찾을 수 있었습니다. 쉬운 게싱 문제였던거 같습니다. 다른 방법으로 풀자면, 리눅스에서 file 명령어를 통해서 파일의 유형을 확인하면 다음과 같이 문구가 나옵니다. 그래서 strings 명령어로 플래그 포맷인 ABCTF를 입력하시면 다음과 같이 플래그 값을 볼 수 있습니다.

이번 시간에는 CTF-D에 Disk 카테고리 문제인 "X 회사의 재정 정보를 훔치기" 를 풀겠습니다. 문제를 보겠습니다. 주어진 파일을 다운 받고 hxd에디터로 열어 보겠습니다. 7z로 된것을 보아 7-zip으로 압축된 파일입니다. 그래서 7-zip으로 압축을 풀었습니다. (하지만 hxd로 봐도 좋지만 바로 이해하기는 힘들기 때문에, 리눅스에서 file [파일명] 하시는게 제일 편합니다!!) 압축을 풀면 다음과 같이 Users파일이 나옵니다. 들어가시면 다양한 폴더가 존재하는데 한번 보겠습니다. All Users, Default, Default User, proneer, Public이 존재하는데, 문제를 보면 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다고 하였다. 그럼 EXCEL파일이니..

Multimedia에 문제 제 친구의 개가 바다에서를 풀어보겠습니다. 문제를 보겠습니다. 주어진 파일 hidden.jpg를 다운받고 실행시켜 보겠습니다. 엄청 밝기가 강하네요...그래서 명암을 조절 해줬습니다. 조절을 해줬더니 다음과 같이 문제를 풀 수 있는 플래그가 나왔습니다. Flag : tjctf{th3_f0x_jumo3d_0v3r_m3} -reperence- 디지털 포렌식 with CTF

CTF-D에 NetWork카테고리에 있는 "파일에서 플래그를 찾아라"를 풀어보도록 하겠습니다. 문제를 한번 보겠습니다. 확장자가 없는 myheart....이 주어졌고 txt파일이 주어졌는데, txt파일을 열어보니 풀이 답안지여서 저 방식과는 다르게 제 방식대로 풀어 보겠습니다. 이런 파일이 하나 주어지는데 리눅스로 가져가 파일 유형을 보겠습니다. $ file [파일명] xz파일로 되어있으니 unxz 명령어를 통해서 압축을 풀어 줍시다. $ unxz [파일명] 압축을 풀었으면, 다시 파일의 유형을 살펴봅시다. pcapng파일이네용!! 저도 pcapng에 대해서는 잘 알지 못하기 때문에 간단하게만 구글링을 한 대로 설명 하겠습니다. pcapng파일이란? PCAP Next Generation의 약자로 기존 p..

CTF-D에 있는 "나는 힉스 입자가 발견되지 않을 것이라고" 문제를 풀어 보겠습니다. 문제를 보겠습니다. 파일이 하나 주어졌네요. 다운을 받으면 다음과 같은 확장자가 없는 파일이 나옵니다. hex에디터로 열어 보겠습니다. 열어보니 다음과 같이 빨간 사각형을 보면, 7zXZ라고 적혀있습니다. 그래서 왠지 7zip으로 압축을 풀 수 있을거 같아, 바로 풀어보았습니다. 또 다시 파일 확장자가 없는 파일이 생성 되었는데요. hex에디터로 열어봅시다. pcap파일인것을 알 수 있습니다. 근데 pcap으로 확장자를 변경하면 실행이 되질 않습니다. (7zip이 아닌가봐요 ㅎㅎ) 그래서 파일을 리눅스로 들고가겠습니다. 리눅스로 들고와서 file명령어를 통해서 파일의 유형을 살펴보겠습니다. $ file [파일명] 명령..

CTF-D 사이트에 있는 네트워크 카테고리에 우리는 적군에 대한 첩보를 풀어보겠습니다. 문제를 한번 보겠습니다.주어진 첨부파일인 exfil.tar를 다운 받아 압축을 풀어줍니다. ( 리눅스 환경에서 tar파일을 풀려면 tar xvf exfil.tar를 입력하시면 됩니다. ) 압축을 풀면 dump.pcap파일과 server.py가 들어 있는것을 볼 수 있습니다. 먼저 와이어샤크를 통해 dump.pcap파일을 보겠습니다.dump.pcap을 실행하면 다음과 같은 DNS 패킷을 볼 수 있고, 패킷을 좀 더 읽어보면 DNS패킷과 데이터 값처럼 보이는 것들을 확인할 수 있었습니다.노란색 형광펜으로 되어 있는것을 보겠습니다. 첫번째 패킷은 클라이언트가 DNS를 요청하는 패킷으로 (DNS Query Packet) 두번..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 보니 Gregory에게 무슨 일이 일어났는지 찾는것인데요, 주어진 파일은 pcap파일이 아닌 zip파일입니다. 파일을 다운 받아서 압축을 풀어봅시다. 압축파일 안에는 Dump폴더와 log텍스트 파일이 존재하는데요, 로그 텍스트 파일을 먼저 실행해보겠습니다. 딱히 수상한 부분은 보이지 않지만 한가지 의심이 가는것은 형광색으로 칠한 부분인데요. 이 부분은 dump_android.cpp compiled라는건 운영체제가 안드로이드인 휴대폰을 덤프를 떴다는 뜻입니다. 덤프란? 특정 시점에 작업 중이던 메모리 상태를 기록한 것입니다. 그래서 로그 파일과 덤프 폴더가 존재했던것입니다. 그럼 덤프 파일을 조사해봐야 하..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Gregory는 Betty를 만나지 못할 경우 어떻게 죽는지를 찾는 문제입니다. 주어진 문제 파일인 round3.pcap파일을 다운 받아서 실행을 시켜봅시다. pcap파일을 실행 시켜서 내리다 보니 프로토콜중에 mp4라고 되어 있는 수상한 패킷이 하나 보입니다. TCP Stream으로 실행을 시켜 보겠습니다. 경로 [Analyze] - [Follow] - [TCP Stream] 해당 프로토콜의 TCP Stream를 보면 mms-message를 받았고, 받은 파일은 VID_20130705_145557.mp4입니다. 즉 mms는 Multimedia Messaging Service의 약자로써 멀티미디..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Betty와 Gregory가 만나는 장소를 찾으면됩니다. 주어진 문제 파일인 round2.pcap파일을 다운 받아서 실행을 시킨 다음에 문제에 나와있는대로 Betty와 Gregory가 서로 대화를 주고 받았을거 같으니 IRC프로토콜을 먼저 확인을 해보겠습니다. 경로 : [irc검색] - [오른쪽 마우스 클릭] - [Follow] - [TCP Strem] * IRC 프로토콜 Internet Relay Chat의 약자로 실시간 채팅 프로토콜입니다. 여러 사용자가 모여 대화를 나눌 수 있고, 또한 개인간의 대화 기능도 지원합니다. 또한 IRC 클라이언트와 직접 연결을 설정하는데 사용되는 하위 프로토콜..