YeoPEVA
Defcon-2018 | HR Server - Advanced 본문
Defcon-2018 HR Server
HR Server - Advanced
- File info :
- md5 / sha :
(문제 풀이)
1번 | HR Server - Logon
[...?] 감사 로그가 지워졌다고 뜬다..
그래서 한번 이미지를 다시 살펴보니, VSS가 존재했다.
VSS (불륨 섀도 스냅 샷)
- libvshadow
- vshadowmount
마운트 → vsahdowinfo 확인 및 마운트 +
- 그림에서는 빠졌으나, 해당 이미지를 /mnt/ewf/ewf1 으로 마운팅해줘야 돌아간다.
Start * 512 = 525336578 (결과 값)
옵션으로 주고 vshadowinfo +
Secure.evtx 분석 → 해당 시간대 들어온 사용자 체크
PowerShell 분석 방법
→ 연구 +
한국 UTC +9 | 미국 UTC -7
2018-07-30 22:31:33 UTC
→ 2018-07-31 7:31:33 UTC +9
7:31:33
2018-07-27 02:42:43 UTC
→ 2018-07-27 09:42:43 UTC +9
[format: {TargetUserName} - {LogonType} - {LogonProcessName} - {IpAddress}]
Answer : mpowers - 10 - User32 - 74.118.138.195
1026048 * 512 = 525,336,576 (525336576)
2번 | HR Server - Task Started
작업 스케줄러가 사용자 "WIN-29U41M70JCO\mpowers"에 대한 "\Throw Taco" 작업의 "{2bea1584-2119-494e-8f42-e69a60a2bda9}" 인스턴스를 시작했습니다.
Answer : \Throw Taco
Task 관련 이벤트 분석 → 해당 시간대 들어온 사용자 체크
3번 | HR Server - HR System 1
Answer : 74.118.139.108
4번 | HR Server - Web App
OrangeHRM에서 Install.txt를 보면, 아파치 버전대를 확인할 수 있다.
Answer : 2.4
5번 | HR Server - Changes Q3
| → OR 연산자
USN_REASON_CLOSE
0x80000000
USN_REASON_DATA_EXTEND
0x00000002
USN_REASON_FILE_CREATE
0x00000100
Answer : 0x80000102
Answer → 2147483906
'#Forensic > 시나리오-문제-풀이' 카테고리의 다른 글
| Defcon-2018 Desktop - Basic (0) | 2020.05.17 |
|---|---|
| Defcon-2018 | HR Server - Expert (0) | 2020.05.16 |
| Defcon-2018 | HR Server - Basic (0) | 2020.05.16 |
| Defcon-2018 File Server - Expert (0) | 2020.05.16 |
| Defcon-2018 File Server - Advanced (0) | 2020.05.16 |
