YeoPEVA

Defcon DFIR CTF 2019 Linux Forensic File info : md5 / sha : Defcon DFIR CTF 2019 1. 운영체제를 묻는 문제였습니다. autospy를 이용해 boot 디렉토리를 색인하고 확인하니, kali라는 것을 확인할 수 있었습니다. flag 2. autospy를 사용해, access.log를 뽑아냈습니다. md5 | access.log를 돌린 결과, 위처럼 md5 값을 확인할 수 있었습니다. flag 3. 자격 증명 | 계정 권한과 관련된 도구를 찾는 문제입니다. /root/Downloads 측에 위와 같이 미미카츠가 발견되었습니다. flag 4. super secret file을 제작했다고 해서, root 측에서 .bash_history를 통해, 분석..

Defcon DFIR CTF 2019 Memory Forensic File info : md5 / sha : Defcon DFIR CTF 2019 1. get your volatility on 문제 파일의 SHA1 값을 알아내면 되는 문제. 간단히 shasum을 통해, sha1을 뽑아내고 풀었다. 2. pr0file 여러가지 제안하는 프로파일이 존재하는데 (imageinfo) 이 중, Win7SP1x64 프로파일을 인증했을 경우, 인증이 성공적으로 진행됬었습니다. 3. hey, write this down volatility pslist를 이용해서, pid (프로세스 ID)를 뽑아낸 다음, notepad를 확인해보면 위처럼 notepad PID를 확인할 수 있습니다. 4. wscript can haz c..

Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 몇몇 문제는 직접 부팅해서 확인하는 특이한..? 방식으로 풀이를 진행했고, 한번 풀다가 잠시 접어두고, 다시 풀고 그래서, 중간에 풀이 방식이 조금 바뀔 수 있습니다. 1. Who's That User? User 이름을 물어보는 문제입니다. 그냥 부팅해서 풀었습니다 [...?] 다른 풀이 : autospy나 ftk 이용해서, SAM 레지스트리 뽑아서, 접근 가능. Answer : flag 2. Thee who logged in last C:\Windows\system32\config 로 접근하여 레지스트리를 뽑아낸 다음, SAM 레지스트리를 분석하면 됩니다. (REGA ..

Defcon-2019 | Deadbox Created: Feb 13, 2020 2:54 AM Tags: Defcon Defcon DFIR CTF 2019 Triage Vm File info : md5 / sha : Defcon DFIR CTF 2019 1. 누가 이미지 (E01)을 만들었는지 물어보는 문제입니다. 같이 포함되어 있는 텍스트 파일 확인을 통해, 간단히 해결할 수 있습니다. flag 2. 사용자가 사용하는 유저의 계정을 묻는 문제였습니다. REGA를 이용해 간단히 풀이할 수 있으며, FTK Imager를 이용해서, C:\Windows\System32\config 측에서 SAM 하이브 파일을 뽑아, 분석하여, 사용자 계정 정보를 체크 flag 3. 1번과 같이, 이미징 작업을 하면서 발생한 로..

Defcon-2019 DF | Crypto Created: Mar 12, 2020 1:29 AM Tags: Defcon Defcon-2019 DF Crypto | Are you ready for this? File info : md5 / sha : (문제 설명) DFA.png를 통해, flag를 알아내는 문제입니다. (문제 풀이) 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 CHAMPLAIN COLLEGE 먼저 16진수를 적어 주고... 한번 strings 쪽 통해서 돌려봤는데, 그럴싸한 정보는 없었습니다. 16진수 → poqddhhn | rot13? 70 6F 71 64 63 68 68 6E | 16진수 확인 가능 hex → rot13 (13) → 비즈네르 암호 (Audeamus)..

분석 결론 및 추정 | 상세 타임라인 그레그 샤르트 [Greg Schardt / Mr .Evil] IP = 192.168.1.111 MAC=0010a4933e09 피해자 IP = 192.168.254.2 Mozilla/4.0 | Windows 그레그 샤르트 관련 그레그 샤르트의 악의적인 행의를 증명해야함 악의적인 프로그램과 관련된 흔적 / 아티팩트 인터넷 트래픽 | 피해자와 관련된 정보 무선 액세스 포인트 | 수집 흔적 [증명] 노트북에 설치된 악의적인 프로그램 및 실행 흔적 존재 Ethereal / Look@LAN 을 이용해, 트래픽 수집 흔적 존재 배운 점 및 느낀 점 + 레지스트리 분석시 REGA를 이용해서 분석을 진행했는데, regripper가 상당히 편하다는 것을 알게됨 IRC 분석 및 grep..

각 항목 정답 및 풀이 16. Find 6 installed programs that may be used for hacking. [해킹에 사용될 수 있는 6개의 설치된 프로그램을 찾아라.] 공격자 IP 은닉 Anonymizer Bar 2.0 Wifi 탐색 NetStubler Network 정보 수집 Look&LAN_1.0 (network discovery tool) Ethereal (packet sniffer) Password Cracking Cain & Abel v2.5 beta45 (password sniffer & cracker) 123 Write All Stored Passwords (finds passwords in registry) 17. What is the SMTP email addres..

각 항목 정답 및 풀이 1. What is the image hash? Does the acquisition and verification hash match? (ftk, md5) [SCHARDT.001 ~ 008 | DD image] → wget을 통해 바이너리 다운로드 MD5 값 일치 확인 완료 FTK Drive/image Verify를 통해, 해쉬 값 검증 및 컴퓨터 해쉬, 해쉬 일치 확인 가능. 2. What operating system was used on the computer? (레지스트리) 레지스트리 파일 추출 및 RegRipper를 이용한 리포트 체크 위의 총 4가지 레지스트리를 추출하여, RegRipper를 이용해 분석 진행 software REG | winver, win_cv (re..

Cfreds-hacking-case Part.1 Created: Dec 20, 2019 6:45 PM Tags: cfreds Hacking Case 분석 목적 및 목표 2004년 9월 20일에 일련번호가 #VLQLW인 Dell Cpi 노트북이 무선 PCMCIA 카드와 수제 820.11b 안테나와 함께 버려진 채로 발견되었음. 해당 컴퓨터는 해킹 용의자인 그레그 샤르트와 관련지을 수는 없지만, 해킹 목적으로 사용됐다는 의심을 받고 있으며, 샤르트는 또한 Mr. Evil 이라는 온라인 별명을 가자고 있으며, 그의 일부 동료들은 그가 무선 액세스 포인트(스타벅스 혹은 그 외 T-Mobile 핫 스팟과 같은) 근처에 그의 차량을 주차하고 인터넷 트래픽을 가로채서 신용카드 번호 및 사용자 이름, 그리고 비밀번호와..

[Wargame.kr] [already_got] File info : md5 / sha : [문제 설명] [문제 풀이] Start를 누르면, 너는 이미 키를 가지고 있다고 합니다. [...?] 문제 지문에서 HTTP Response Header라는 구문이 있었으니, 이와 관련되었다 생각하여 풀이를 진행했습니다. F12 → 네트워크 → already_got → FLAG 짜잔. 혹은 아래와 같이, 와이어샤크를 통해, 패킷을 잡아 풀이 또한 가능합니다. [문제 의도 및 느낀점] HTTP Response를 볼 수 있는지..? [참고 문헌] Nope :)