보호되어 있는 글입니다.
CCE-2017 시나리오 문제
CCE-2017 File info : md5 / sha : 1.hics/hics1212!로 접속하고 .bash_history 에서 flag를 찾아 입력하시오. 먼저, 유저 홈 디렉토리 측에서, bash_history를 확인할려고 했으나.. 존재하지 않았습니다. 이를 해결하기 위해, extundelete 툴을 설치하고, df-h를 통해, 해당 경로가 잡혀있는 쪽을 찾고, extundelete를 이용해 복구를 진행했습니다. 그 결과 위처럼 복구에 성공했으며, file 명령어로 텍스트 파일임을 확인했습니다. 그리고 파일 내를 체크해본 결과, key is ~~ 양식으로 플래그를 찾을 수 있었습니다. 2.웹메일에서 취약점이 존재하는 파일의 full path 를 입력하시오. 먼저, 해당 서버 ip로 웹으로 접근했을..
문제 풀이를 한 지, 조금 기간이 지났지만, 여러가지 일이 겹쳐서 포스팅이 늦어지고 있네요. 이외로도, 다른 라이트업도 정리가 끝나는대로 종종 올리겠습니다. EX) 해커스쿨 FTZ, LOB, 코드엔진.. 크레센도.. 등등... | CTF + 이번에 DFIR 2018,2019 문제를 풀면서 VSS와 같은 지식에 대해 알게 되었고, 시나리오를 분석해보면서, 분석 능력이 조금은 상향된 것 같습니다. (아직 한참 멀었지만요..) 이후로, CFREDS Data-leak이나, 타 몇몇 시나리오 문제들을 더 풀어보고자 합니다. 그리고 몇몇 시나리오 문제를 풀이하면서, 리버싱과 연계되는 경우가 많아서, 리버스엔지니어링과 관련된 문제도 가능하면, 몇몇 풀어보고 싶네요.. 암튼 기회가 된다면 해당 라업이나 다른 글로 다시..
Defcon-2018 Desktop - Expert
Defcon-2018 Desktop - Expert File info : md5 / sha : (문제 풀이) Expert 1 악성코드 호스팅 | IP 및 포트 + 다운로드 흔적 측에, out.hta라는 이상한 파일이 눈에 보였습니다. 그래서, 다운로드 → 다운로드 경로 측에 저장됬을꺼라 생각하고 FTK로 접근하여, 추출하여 확인해본 결과, base64로 인코딩 된, 파워쉘 페이로드를 찾을 수 있었고, 해당 페이로드를 디코딩 한 결과, 아래와 같이 IP 주소 및 포트를 체크할 수 있었습니다. 142.93.50.86:80 Expert 2 위에서 찾았던, out.hta가 공격자가 실행한 파일이라 할 수 있습니다. Expert 3 해당 코드를 확인해보면.. 파워쉘 | base64 와 같이 일부 키워드 및 익스플..
Defcon-2018 Desktop - Advanced
Defcon-2018 Desktop - Advanced File info : md5 / sha : (문제 풀이) Advanced 1 크롬 히스토리를 통해 분석을 진행하다보면, TeamViewer Survey라는 사이트를 방문한 흔적이 존재하며, 파트너 아이디 및 패스워드를 전달한 것으로 보이는 URL을 확인할 수 있습니다. TeamViewer Advanced 2 1번 문제 기반, Teamviewer\Connections_incoming.txt를 확인해본 결과, 로그를 확인할 수 있었으며, 시간대를 확인할 수 있습니다. Advanced 3 팀뷰어 연결 시간대 (관련 +) 이벤트 뷰어 | C:\Windows\System32\winevt\Logs\Microsfot-Windows-TerminalServices-..
Defcon-2018 Desktop - Basic
Defcon-2018 Desktop - Basic File info : md5 / sha : (문제 풀이) Basic 1 데스크탑의 네트워크 IP를 묻는 문제였습니다. FTK imager를 이용해, 레지스트리를 추출하고, 하단 경로에서 네트워크 정보를 확인했습니다. SYSTEM\ControlSet00x\Services\Tcpip\Parameters\Interfaces DhcpIPAddress → 74.118.138.195 flag Basic 2 SOFTWARE 레지스트리에서, \SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\[SID] SID | Administrator S-1-5-21-1769714682-2803786108-491265710-500 ..
Defcon-2018 | HR Server - Expert
Defcon-2018 HR Server HR Server - Expert File info : md5 / sha : (문제 풀이) 아파치 웹 로그 (access.log)를 이용해, 체크 가능. 먼저, cut -d " "을 통해, ip 부분을 따로 리스트로 제작하고. 해당 리스트를 sort, uniq -c , sort -n을 이용해 IP 수를 체크해준다. 그럼 짜잔. 위처럼 가장 많은 수의 IP를 체크할 수 있다. Answer : 74.118.138.195 cat access.log | grep -a wget | wc -l 아파치 엑세스 로그 중에서, wget이 포함된 부분만 출력 → wc -l로 줄 수 체크 결과 값 : 101 Answer : 101
Defcon-2018 | HR Server - Advanced
Defcon-2018 HR Server HR Server - Advanced File info : md5 / sha : (문제 풀이) 1번 | HR Server - Logon [...?] 감사 로그가 지워졌다고 뜬다.. 그래서 한번 이미지를 다시 살펴보니, VSS가 존재했다. VSS (불륨 섀도 스냅 샷) libvshadow vshadowmount libyal 마운트 → vsahdowinfo 확인 및 마운트 + 그림에서는 빠졌으나, 해당 이미지를 /mnt/ewf/ewf1 으로 마운팅해줘야 돌아간다. Start * 512 = 525336578 (결과 값) 옵션으로 주고 vshadowinfo + Secure.evtx 분석 → 해당 시간대 들어온 사용자 체크 PowerShell 분석 방법 → 연구 + 한국 U..
Defcon-2018 | HR Server - Basic
Defcon-2018 HR Server HR Server - Basic File info : md5 / sha : (문제 풀이) 1번 및 2번 → Acquisition Software / Acquisition Software Version 동봉된 .txt 파일에서, 이미징 로그를 체크함으로써, 풀이가 가능했습니다. 1번 → X-Ways Forensics 2번 → 19.6 UTC -7 3번, 4번 → Entry Name | Entry Number 위 2문제 → MFT 및 디스크 관련 아티팩트 수집 및 분석 필요. → MFT 및 NTFS 관련 흔적을 수집해, 분석을 하기로 함. → $MFT | $LogFile 수집 → $UsnJrnl | $J 수집 MFT 파일 | analyzeMFT를 이용해서, MFT 추출..
Defcon-2018 File Server - Expert
Defcon-2018 File Server - Expert File info : md5 / sha : (문제 풀이) Expert1 구글로 검색하자마자, F-Response를 확인할 수 있었습니다. F-Response Expert2 USN 저널 삭제 이벤트 혹은... 위처럼, FTK 삭제 색인을 통해, C:\M4Projects\project_0x02 가 지워졌다고 확인할 수 있습니다. Expert3 Shidehow Bob | 리퀘스트 흔적 + Expert4 Dropbox에 데이터를 업로드한 사람의 이메일 주소의 경우, RDP 캐쉬를 둘러보면, 위처럼 확인 가능합니다. snakepleskin@gmail.com