목록전체 글 (203)
YeoPEVA
2020 회고록 | YeoPEVA 서론 음... 분명 글 작성 시작은 2020년 12월 29일에 시작했던 것 같은데.. 쓰고 생각하고 쓰고 생각하고 쓰고 생각하고 쓰고 생각하고 쓰고 생각하고 쓰고 생각하고 쓰고 생각하고 쓰고 생각하고 (이후 생략) 하다보니, 감사한 분들이 너무 많고, 하고 싶은 이야기들을 담아내다 보니, 2021년에 회고록을 올리네요 ^^7... 본론 0. 학교 | 동아리 이번 대구가톨릭대학교 1학년 1학기를 보낸 후기로는 온라인으로 수업을 듣다보니, 20학번 친구들과 교류할 기회가 없어서 아쉬운 점도 많았습니다. 또한, 코로나로 인해 동아리 활동이 멈춰버리면서 가입했던 한개의 동아리에서는 아무 활동도 못하고 나와버려서 슬프네요.. ㅠㅠ 그래도 3.후반대일 줄 알았던 학점이 4.대를 넘..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
작년과 동일하게 올해도 Anti-root 멤버분들과 인코그니토 프로젝트를 진행하였습니다. 주제로는 USB 복구 프로그램 원리 파악 및 제작을 잡고 진행하게 되었으며, 실제로 구현까지 가진 못하였으나, 그에 따른 원리 및 이해까지는 진행이 되었기에, 해당 내용을 정리하여 발표를 진행하게 되었습니다. 못난 팀장 때문에 고생하신 이진우님, 신유준님, 노무승님, 진세영님 정말 고생 많으셨습니다 ㅠㅠ.. 그리고 프로젝트를 하면서 많은 도움을 주신 김재헌 멘토님 정말 감사합니다! [+] 사진에는 적혀있지 않지만, 신유준님과 함께 발표를 진행하였습니다. PS. 추후에 해당 복구 프로그램과 관련하여, 완성이 되면 추가적으로 포스팅을 진행하겠습니다.
3수 끝에, 9기 교육생으로 합격하였습니다 ㅠ_ㅠ | 디지털포렌식 트랙
CCE-2017 File info : md5 / sha : 1.hics/hics1212!로 접속하고 .bash_history 에서 flag를 찾아 입력하시오. 먼저, 유저 홈 디렉토리 측에서, bash_history를 확인할려고 했으나.. 존재하지 않았습니다. 이를 해결하기 위해, extundelete 툴을 설치하고, df-h를 통해, 해당 경로가 잡혀있는 쪽을 찾고, extundelete를 이용해 복구를 진행했습니다. 그 결과 위처럼 복구에 성공했으며, file 명령어로 텍스트 파일임을 확인했습니다. 그리고 파일 내를 체크해본 결과, key is ~~ 양식으로 플래그를 찾을 수 있었습니다. 2.웹메일에서 취약점이 존재하는 파일의 full path 를 입력하시오. 먼저, 해당 서버 ip로 웹으로 접근했을..
문제 풀이를 한 지, 조금 기간이 지났지만, 여러가지 일이 겹쳐서 포스팅이 늦어지고 있네요. 이외로도, 다른 라이트업도 정리가 끝나는대로 종종 올리겠습니다. EX) 해커스쿨 FTZ, LOB, 코드엔진.. 크레센도.. 등등... | CTF + 이번에 DFIR 2018,2019 문제를 풀면서 VSS와 같은 지식에 대해 알게 되었고, 시나리오를 분석해보면서, 분석 능력이 조금은 상향된 것 같습니다. (아직 한참 멀었지만요..) 이후로, CFREDS Data-leak이나, 타 몇몇 시나리오 문제들을 더 풀어보고자 합니다. 그리고 몇몇 시나리오 문제를 풀이하면서, 리버싱과 연계되는 경우가 많아서, 리버스엔지니어링과 관련된 문제도 가능하면, 몇몇 풀어보고 싶네요.. 암튼 기회가 된다면 해당 라업이나 다른 글로 다시..
Defcon-2018 Desktop - Expert File info : md5 / sha : (문제 풀이) Expert 1 악성코드 호스팅 | IP 및 포트 + 다운로드 흔적 측에, out.hta라는 이상한 파일이 눈에 보였습니다. 그래서, 다운로드 → 다운로드 경로 측에 저장됬을꺼라 생각하고 FTK로 접근하여, 추출하여 확인해본 결과, base64로 인코딩 된, 파워쉘 페이로드를 찾을 수 있었고, 해당 페이로드를 디코딩 한 결과, 아래와 같이 IP 주소 및 포트를 체크할 수 있었습니다. 142.93.50.86:80 Expert 2 위에서 찾았던, out.hta가 공격자가 실행한 파일이라 할 수 있습니다. Expert 3 해당 코드를 확인해보면.. 파워쉘 | base64 와 같이 일부 키워드 및 익스플..
Defcon-2018 Desktop - Advanced File info : md5 / sha : (문제 풀이) Advanced 1 크롬 히스토리를 통해 분석을 진행하다보면, TeamViewer Survey라는 사이트를 방문한 흔적이 존재하며, 파트너 아이디 및 패스워드를 전달한 것으로 보이는 URL을 확인할 수 있습니다. TeamViewer Advanced 2 1번 문제 기반, Teamviewer\Connections_incoming.txt를 확인해본 결과, 로그를 확인할 수 있었으며, 시간대를 확인할 수 있습니다. Advanced 3 팀뷰어 연결 시간대 (관련 +) 이벤트 뷰어 | C:\Windows\System32\winevt\Logs\Microsfot-Windows-TerminalServices-..