YeoPEVA
Defcon-2018 | HR Server - Basic 본문
Defcon-2018 HR Server
HR Server - Basic
- File info :
- md5 / sha :
(문제 풀이)
1번 및 2번 → Acquisition Software / Acquisition Software Version
동봉된 .txt 파일에서, 이미징 로그를 체크함으로써, 풀이가 가능했습니다.
1번 → X-Ways Forensics
2번 → 19.6
UTC -7
3번, 4번 → Entry Name | Entry Number
위 2문제 → MFT 및 디스크 관련 아티팩트 수집 및 분석 필요.
→ MFT 및 NTFS 관련 흔적을 수집해, 분석을 하기로 함.
→ $MFT | $LogFile 수집
→ $UsnJrnl | $J 수집
MFT 파일 | analyzeMFT를 이용해서, MFT 추출
NTFS LOG Tracker 이용 | $LogFile 및 $UsnJrnl 흔적 수집
3번 문제 → 168043, Record Number
MFT 검색 결과에서 체크 → pip3.7.exe 확인
Answer : pip3.7.exe
4번 문제 → mysql.exe
115322 | Record Number 체크 완료
Answer : 115322
5번 → Attribute ID
먼저 $MFT 결과에서, $UsnJrnl을 검색해, MFT Entry 번호를 알아낸 다음.
Entry Number (108606)에 MFT 파일 레코드 크기 (1024)를 곱하여, MFT 레코드 오프셋을 얻은 다음..
111212544 | MFT 레코드 확인!
그 뒤, Go To Offset 기능을 통해 이ㄷ..
→ ...? 결과 체크 불가.
... 그래서 sleuthkit 사용했습니다.
mnls → 파일의 오프셋 (1026048)
fls 이용 | MFT Attribute ID 체크
UsnJrnl | 108606-128-3 | 정답은 3이네요.
Answer : 3
6번 → SMB
winevt 측 Logs (이벤트 파일)에서, SMBServer Security.evtx를 export 해서
이벤트 뷰어로 해당 시간대 2018-08-08 18:10:38.554 (UTC) | 2018-08-09 03:10:38.554 (UTC +9)
체크시, 위처럼 클라이언트 주소를 확인할 수 있다. | 80.81.110.50.8577
Answer : 80.81.110.50.8577
7번 → Saved
Users/mpowers/NTUSER.DAT을 확인하고, Export 한 다음.
OpenSavePidMRU에서 bat 파일을 체크해보면, 경로를 확인할 수 있고.
해당 경로를 $MFT 결과에서 찾아보면, 위처럼 .bat 파일을 찾을 수 있다.
Answer : C:\Production\update_app.bat
8번, 9번 → Application Q 1,2
HR 프로그램을 찾으라는 것인데, Program Files 측을 둘러보면 OrangeHRM이라는 프로그램을 확인할 수 있다.
Answer : OrangeHRM
HR 시스템의 퍼블릭 url을 찾으라고 하는데..
아까 찾은 OrangeHRM에서 좀 더 상세히 확인해보면, apache 폴더가 별도로 존재하는 것을 알 수 있고.
apache 폴더 안에 존재하는 logs 파일 내에 http://를 검색하다보면 위와 같이 정답을 확인할 수 있다.
Answer : http://74.118.139.108/orangehrm-4.1/symfony/web/index.php
- 혹은 IP를 제대로 체크하고자 한다면..
- System 레지스트리에서 서비스 (TCP/IP) dhcpipaddress 값을 참고 +
10번, 11번 → Changes Q1, 2
$UsnJrnl:$J 를 조사한 결과에서 (상단 문제에서 조사) USN 측에, 368701440 번호를 입력
USN number → sequence number
그러면 아래와 같이 정답을 확인할 수 있다.
Answer : Microsoft-Windows-SMBServer%4Security.evtx
reference number | 참조 번호 → 12947848028752043
해당 참조 번호를 16진수로 바꾸고..
NTFS - 파일 참조 주소 레퍼런스를 참고해서,
16진수 결과 값 → 2e00000000f1ab
0x002e → Seq Number
f1ab → MFT Entry Address
MFT Entry 주소를 10진수로 바꾸고, MFT 검색 결과에서 검색한 결과. 정답을 체크할 수 있었다.
Answer : _MEI78882
- $J 측에서도 Seq Number를 같이 이용한다면, 조회가 가능할 것 같다.
'#Forensic > 시나리오-문제-풀이' 카테고리의 다른 글
| Defcon-2018 | HR Server - Expert (0) | 2020.05.16 |
|---|---|
| Defcon-2018 | HR Server - Advanced (0) | 2020.05.16 |
| Defcon-2018 File Server - Expert (0) | 2020.05.16 |
| Defcon-2018 File Server - Advanced (0) | 2020.05.16 |
| Defcon-2018 File Server - Basic (0) | 2020.05.16 |
