목록전체 글 (203)
YeoPEVA
Defcon-2018 Desktop - Basic File info : md5 / sha : (문제 풀이) Basic 1 데스크탑의 네트워크 IP를 묻는 문제였습니다. FTK imager를 이용해, 레지스트리를 추출하고, 하단 경로에서 네트워크 정보를 확인했습니다. SYSTEM\ControlSet00x\Services\Tcpip\Parameters\Interfaces DhcpIPAddress → 74.118.138.195 flag Basic 2 SOFTWARE 레지스트리에서, \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\[SID] SID | Administrator S-1-5-21-1769714682-2803786108-491265710-500 ..
Defcon-2018 HR Server HR Server - Expert File info : md5 / sha : (문제 풀이) 아파치 웹 로그 (access.log)를 이용해, 체크 가능. 먼저, cut -d " "을 통해, ip 부분을 따로 리스트로 제작하고. 해당 리스트를 sort, uniq -c , sort -n을 이용해 IP 수를 체크해준다. 그럼 짜잔. 위처럼 가장 많은 수의 IP를 체크할 수 있다. Answer : 74.118.138.195 cat access.log | grep -a wget | wc -l 아파치 엑세스 로그 중에서, wget이 포함된 부분만 출력 → wc -l로 줄 수 체크 결과 값 : 101 Answer : 101
Defcon-2018 HR Server HR Server - Advanced File info : md5 / sha : (문제 풀이) 1번 | HR Server - Logon [...?] 감사 로그가 지워졌다고 뜬다.. 그래서 한번 이미지를 다시 살펴보니, VSS가 존재했다. VSS (불륨 섀도 스냅 샷) libvshadow vshadowmount libyal 마운트 → vsahdowinfo 확인 및 마운트 + 그림에서는 빠졌으나, 해당 이미지를 /mnt/ewf/ewf1 으로 마운팅해줘야 돌아간다. Start * 512 = 525336578 (결과 값) 옵션으로 주고 vshadowinfo + Secure.evtx 분석 → 해당 시간대 들어온 사용자 체크 PowerShell 분석 방법 → 연구 + 한국 U..
Defcon-2018 HR Server HR Server - Basic File info : md5 / sha : (문제 풀이) 1번 및 2번 → Acquisition Software / Acquisition Software Version 동봉된 .txt 파일에서, 이미징 로그를 체크함으로써, 풀이가 가능했습니다. 1번 → X-Ways Forensics 2번 → 19.6 UTC -7 3번, 4번 → Entry Name | Entry Number 위 2문제 → MFT 및 디스크 관련 아티팩트 수집 및 분석 필요. → MFT 및 NTFS 관련 흔적을 수집해, 분석을 하기로 함. → $MFT | $LogFile 수집 → $UsnJrnl | $J 수집 MFT 파일 | analyzeMFT를 이용해서, MFT 추출..
Defcon-2018 File Server - Expert File info : md5 / sha : (문제 풀이) Expert1 구글로 검색하자마자, F-Response를 확인할 수 있었습니다. F-Response Expert2 USN 저널 삭제 이벤트 혹은... 위처럼, FTK 삭제 색인을 통해, C:\M4Projects\project_0x02 가 지워졌다고 확인할 수 있습니다. Expert3 Shidehow Bob | 리퀘스트 흔적 + Expert4 Dropbox에 데이터를 업로드한 사람의 이메일 주소의 경우, RDP 캐쉬를 둘러보면, 위처럼 확인 가능합니다. snakepleskin@gmail.com
Defcon-2018 File Server - Advanced File info : md5 / sha : (문제 풀이) Advanced1 FTK imager | VSS Hex 값 → 경로 + \\?\GLOBAL.R.O.O.T.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o.l.u.m.e.S.h.a.d.o.w.C.o.p.y.1.\.\.?.?.\.G.L.O.B.A.L.R.O.O.T.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o.l.u.m.e.S.h.a.d.o.w.C.o.p.y.1.\. \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\ Advanced2 vshadowinfo | vss 체크 + → Creation time | Aug 07,..
Defcon-2018 File Server - Basic File info : md5 / sha : (문제 풀이) Basic 1 해당 이미지의 볼륨 시리얼 번호를 물어보는 문제입니다. FTK-imager를 이용해 간단히 풀이가 가능했습니다. Answer : C096-2465 Basic 2 이미지와 같이 동본된, txt 파일을 통해 확인할 수 있습니다. Answer : Professor Frink Basic 3 이미지 누락... | (풀이하던 사진이 누락되어, 텍스트로 대체합니다... ㅠㅠ) 삭제 이벤트 로그 1102 Event ID 존재 X 로그인 흔적 | + 4625 이벤트 ID → 로그인 실패 흔적이 대다수를 차지 4624 이벤트 ID → 로그인 성공 필터링 확인시 mpowers administrat..
Defcon DFIR CTF 2019 Linux Forensic File info : md5 / sha : Defcon DFIR CTF 2019 1. 운영체제를 묻는 문제였습니다. autospy를 이용해 boot 디렉토리를 색인하고 확인하니, kali라는 것을 확인할 수 있었습니다. flag 2. autospy를 사용해, access.log를 뽑아냈습니다. md5 | access.log를 돌린 결과, 위처럼 md5 값을 확인할 수 있었습니다. flag 3. 자격 증명 | 계정 권한과 관련된 도구를 찾는 문제입니다. /root/Downloads 측에 위와 같이 미미카츠가 발견되었습니다. flag 4. super secret file을 제작했다고 해서, root 측에서 .bash_history를 통해, 분석..
Defcon DFIR CTF 2019 Memory Forensic File info : md5 / sha : Defcon DFIR CTF 2019 1. get your volatility on 문제 파일의 SHA1 값을 알아내면 되는 문제. 간단히 shasum을 통해, sha1을 뽑아내고 풀었다. 2. pr0file 여러가지 제안하는 프로파일이 존재하는데 (imageinfo) 이 중, Win7SP1x64 프로파일을 인증했을 경우, 인증이 성공적으로 진행됬었습니다. 3. hey, write this down volatility pslist를 이용해서, pid (프로세스 ID)를 뽑아낸 다음, notepad를 확인해보면 위처럼 notepad PID를 확인할 수 있습니다. 4. wscript can haz c..