티스토리 뷰
Defcon DFIR CTF 2019
Linux Forensic
- File info :
- md5 / sha :
1.
운영체제를 묻는 문제였습니다.
autospy를 이용해 boot 디렉토리를 색인하고 확인하니, kali라는 것을 확인할 수 있었습니다.
flag<kali>
2.
autospy를 사용해, access.log를 뽑아냈습니다.
md5 | access.log를 돌린 결과, 위처럼 md5 값을 확인할 수 있었습니다.
flag<d41d8cd98f00b204e9800998ecf8427e>
3.
자격 증명 | 계정 권한과 관련된 도구를 찾는 문제입니다.
/root/Downloads 측에 위와 같이 미미카츠가 발견되었습니다.
flag<mimikatz_trunk.zip>
4.
super secret file을 제작했다고 해서,
root 측에서 .bash_history를 통해, 분석하면 될 것 같아, bash_history를 뽑아 분석했습니다.
히스토리를 통해, 해당 파일 경로를 확인할 수 있었습니다 :)
flag</root/Desktop/SuperSecretFile.txt>
5.
bash_history | 문자열 검색 → binwalk 확인
flag<binwalk>
6.
데스크탑 내, Checklist가 존재했으며, 3번째는 Profit 이였습니다.
flag<Profit>
7.
해당 경우, 아파치와 관련된 로그를 확인하면 될 것 같아 확인...
Size가 0이기 때문에, 작동시킨 적이 없다는 것을 확인할 수 있습니다 (?_?)
flag<0>
8.
이와 관련해서, autospy를 이용해 색인하던 도중, root 경로에서 해당 이미지를 확인했습니다.
Triage 문제에서 봤던 바탕화면이 보이네요.
flag<irZLAohL.jpeg>
9.
root/Documents/myfirsthack측을 확인해보면
위처럼, 배쉬 스크립트를 확인할 수 있습니다.
flag<Young>
10.
/usr/log 측에서 auth.log 파일을 추출해
해당 시간대 이력을 체크한 결과, postgres 라는 flag를 확인할 수 있었습니다.
flag<postgres>
11.
bash_history 및 sleuthkit을 이용해, bash_history를 따라가면, flag를 확인할 수 있습니다.
flag</root/Documents/myfirsthack>
'#Security > #Forensic' 카테고리의 다른 글
| Defcon-2018 File Server - Advanced (0) | 2020.05.16 |
|---|---|
| Defcon-2018 File Server - Basic (0) | 2020.05.16 |
| Defcon-2019 | Memory (0) | 2020.05.16 |
| Defcon-2019 | Triage Vm (0) | 2020.05.15 |
| Defcon-2019 | Deadbox (0) | 2020.05.15 |