YeoPEVA

Defcon-2018 Desktop - Basic File info : md5 / sha : (문제 풀이) Basic 1 데스크탑의 네트워크 IP를 묻는 문제였습니다. FTK imager를 이용해, 레지스트리를 추출하고, 하단 경로에서 네트워크 정보를 확인했습니다. SYSTEM\ControlSet00x\Services\Tcpip\Parameters\Interfaces DhcpIPAddress → 74.118.138.195 flag Basic 2 SOFTWARE 레지스트리에서, \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\[SID] SID | Administrator S-1-5-21-1769714682-2803786108-491265710-500 ..

Defcon-2018 HR Server HR Server - Expert File info : md5 / sha : (문제 풀이) 아파치 웹 로그 (access.log)를 이용해, 체크 가능. 먼저, cut -d " "을 통해, ip 부분을 따로 리스트로 제작하고. 해당 리스트를 sort, uniq -c , sort -n을 이용해 IP 수를 체크해준다. 그럼 짜잔. 위처럼 가장 많은 수의 IP를 체크할 수 있다. Answer : 74.118.138.195 cat access.log | grep -a wget | wc -l 아파치 엑세스 로그 중에서, wget이 포함된 부분만 출력 → wc -l로 줄 수 체크 결과 값 : 101 Answer : 101

Defcon-2018 HR Server HR Server - Advanced File info : md5 / sha : (문제 풀이) 1번 | HR Server - Logon [...?] 감사 로그가 지워졌다고 뜬다.. 그래서 한번 이미지를 다시 살펴보니, VSS가 존재했다. VSS (불륨 섀도 스냅 샷) libvshadow vshadowmount libyal 마운트 → vsahdowinfo 확인 및 마운트 + 그림에서는 빠졌으나, 해당 이미지를 /mnt/ewf/ewf1 으로 마운팅해줘야 돌아간다. Start * 512 = 525336578 (결과 값) 옵션으로 주고 vshadowinfo + Secure.evtx 분석 → 해당 시간대 들어온 사용자 체크 PowerShell 분석 방법 → 연구 + 한국 U..

Defcon-2018 HR Server HR Server - Basic File info : md5 / sha : (문제 풀이) 1번 및 2번 → Acquisition Software / Acquisition Software Version 동봉된 .txt 파일에서, 이미징 로그를 체크함으로써, 풀이가 가능했습니다. 1번 → X-Ways Forensics 2번 → 19.6 UTC -7 3번, 4번 → Entry Name | Entry Number 위 2문제 → MFT 및 디스크 관련 아티팩트 수집 및 분석 필요. → MFT 및 NTFS 관련 흔적을 수집해, 분석을 하기로 함. → $MFT | $LogFile 수집 → $UsnJrnl | $J 수집 MFT 파일 | analyzeMFT를 이용해서, MFT 추출..

Defcon-2018 File Server - Expert File info : md5 / sha : (문제 풀이) Expert1 구글로 검색하자마자, F-Response를 확인할 수 있었습니다. F-Response Expert2 USN 저널 삭제 이벤트 혹은... 위처럼, FTK 삭제 색인을 통해, C:\M4Projects\project_0x02 가 지워졌다고 확인할 수 있습니다. Expert3 Shidehow Bob | 리퀘스트 흔적 + Expert4 Dropbox에 데이터를 업로드한 사람의 이메일 주소의 경우, RDP 캐쉬를 둘러보면, 위처럼 확인 가능합니다. snakepleskin@gmail.com