Defcon-2019 | Linux Forensic

Defcon DFIR CTF 2019

Linux Forensic

• File info :
• md5 / sha :

Defcon DFIR CTF 2019

1.

운영체제를 묻는 문제였습니다.

autospy를 이용해 boot 디렉토리를 색인하고 확인하니, kali라는 것을 확인할 수 있었습니다.

flag<kali>

2.

autospy를 사용해, access.log를 뽑아냈습니다.

md5 | access.log를 돌린 결과, 위처럼 md5 값을 확인할 수 있었습니다.

flag<d41d8cd98f00b204e9800998ecf8427e>

3.

자격 증명 | 계정 권한과 관련된 도구를 찾는 문제입니다.

/root/Downloads 측에 위와 같이 미미카츠가 발견되었습니다.

flag<mimikatz_trunk.zip>

4.

super secret file을 제작했다고 해서,

root 측에서 .bash_history를 통해, 분석하면 될 것 같아, bash_history를 뽑아 분석했습니다.

히스토리를 통해, 해당 파일 경로를 확인할 수 있었습니다 :)

flag</root/Desktop/SuperSecretFile.txt>

5.

bash_history | 문자열 검색 → binwalk 확인

flag<binwalk>

6.

데스크탑 내, Checklist가 존재했으며, 3번째는 Profit 이였습니다.

flag<Profit>

7.

해당 경우, 아파치와 관련된 로그를 확인하면 될 것 같아 확인...

Size가 0이기 때문에, 작동시킨 적이 없다는 것을 확인할 수 있습니다 (?_?)

flag<0>

8.

이와 관련해서, autospy를 이용해 색인하던 도중, root 경로에서 해당 이미지를 확인했습니다.

Triage 문제에서 봤던 바탕화면이 보이네요.

flag<irZLAohL.jpeg>

9.

root/Documents/myfirsthack측을 확인해보면

위처럼, 배쉬 스크립트를 확인할 수 있습니다.

flag<Young>

10.

/usr/log 측에서 auth.log 파일을 추출해

해당 시간대 이력을 체크한 결과, postgres 라는 flag를 확인할 수 있었습니다.

flag<postgres>

11.

bash_history 및 sleuthkit을 이용해, bash_history를 따라가면, flag를 확인할 수 있습니다.

flag</root/Documents/myfirsthack>