ssoL2 TISTORY

level9 / apple cat hint 명령어로 hint를 봅시다. /usr/bin/bof 실행파일의 소스를 주었다. 딱 보니 fgets 함수로 buffer overflow = bof 를 일으키려는 모양입니다! bof 란 buffer overflow로 말 그대로 버퍼를 넘치게 해서 취약점을 얻는 해킹 방법입니다! main 함수를 보면 buf2랑 buf를 10 bytes씩 할당하고, fgets 함수로 10 bytes 밖에 안되는 buf에 최대 40 bytes만큼 입력받아서 buf2까지 덮어씌워지게 하는 문제. if 문에 있는 strncmp 함수를 보면 buf에 'go'가 있도록 해야 setuid를 얻을 수 있겠죠? 여기서 10bytes씩 나란히 할당했다고 해서 실제 스택에 buf와 buf2가 붙어 있는..

level 8 / break the world 짜잔 hint 살펴보니 level9의 shadow 파일을 찾으라는 것, 이 파일은 용량이 2700이라는 것 !! 2700 용량을 가진 파일을 찾으려면 find 명령어로 쉽게 찾을 수 있을 것이다 !!! find --help 로 용량 옵션을 찾아보니 [-size] 옵션을 사용하면 된다고 설명한다. 그래서 find 명령어로 옵션 [size]를 같이 써서 찾아보려 했으나 나오는 결과는 없었다........그럴리가 없는데,, 알아보니 용량 사이즈를 적을때 뒤에 단위가 붙지 않으면 디폴트값으로 b로 블록단위였다 ! 지금보니 위에 --help 설명서에도 -size 뒤에 [bckw]라고 나와있다..... ㅇㅅㅇ;; 따라서 바이트 단위인 c를 붙여주면 된다. 또잉? 가장 ..

LEVEL 7 / come together hint를 보면 /bin/level7를 실행하면 패스워드 입력하라고 한다며 패스워드를 찾으라고 한다. 실행할 /bin/level7을 자세히 보니 level8 SetUID를 지닌 실행 파일이구만 ^^ 그럼 한번 실행해봅시다. Insert The Password 라고 패스워드 값을 입력하라 나오는데 'hi'라고 치니 갑자기 cat 명령어로 /bin/wrong.txt를 읽을 수 없다고 오류가 뜬다. ==> 찾아보니 잘못 만들어진 문제인듯 ! 개발하신 분이 /bin/wrong.txt 를 만들지 않아서 생긴 문제래여 ㅠ,ㅠ /bin/wrong.txt 만들려고 애써봤지만 안되더라..... 아무튼 새롭게 root / hackerschool 로 계정 들어가서 /bin/wron..

level 6 / what the hell 예? 다짜고짜 힌트를 준다고요? 프롬프트는 어디갔구요? 아무거나 치고 엔터 쳤더니 꺼져버렸음.. 읭? 다시 들어가서 이번엔 바로 엔터를 쳤더니 바로 텔넷 접속 메뉴로 넘어온듯 1번 눌렀더니 IP 주소에 접속하는 모습이다.. 그런데 얼마 지나고 또 꺼져버리는 창,, 나한테 왜그래여 2번 선택하고 3번 선택해도 넘어가지 않고 계속 창이 꺼져버린다.. 으아ㅏㅏㅏㅏㅏㅏ 그래서 처음부터 돌아와서 1. 어떠한 것을 입력하면 꺼지고 2. 엔터치면 꺼지므로 마지막으로 리눅스 쉘 프롬프트에서 나갈때 사용하는 ctrl+c를 해봤더니 탈출을 성공했다. 이제 ls하고 상황 살펴보니 처음에 봤던 hint가 요있네.. 아마 이 hint를 처음 시작할 때부터 보여주도록 해놓지 않았을까....

1. [접속id@서버 현재위치]$ => 프롬프트 2. linux는 대소문자 구분한다. 3. ls 현재 위치에서 보여줌 [-a] 숨겨진파일(.) [-l] 디렉토리(d), 파일(-) 구분 4. ls 끝부분 => 생성용량 생성날짜 파일명 1. pwd => 현재 경로 2. 프롬포트에 나오는 현재위치는 현재경로 맨 뒤 디렉토리 3. /는 최상위 디렉토리 4. cd => 경로 바꾸기 [..] 한단계 위로 5. mkdir 디렉토리 rmdir 디렉토리 6. cp 파일1 파일2 => 파일1을 복사해서 파일2 생성 7. rm 파일 => 삭제 8. mv 파일1 파일2 => 파일1을 파일2에 덮어씀 1. 텔넷으로 접속 한 것을 "터미널"로 접속했다고 한다. 2. 직접 컴퓨터에 linux 설치 후 접속한 것을 "콘솔"로 접속했..

오랜만이구만......... FTZ level5를 풀어봅시다. level5 / what is your name? hint에서 /usr/bin/level5 라는 실행프로그램은 /tmp 디렉토리에 level5.tmp를 생성함을 알려줬다. 이 사실만 가지고 level6의 권한을 얻으라는 소리는 level5 프로그램에 뭔가 있다는 소리. 으흠, /usr/bin/level5는 level6를 가진 유저에게 SetUID 권한으로 실행한다는 것! 그래도 level5 gid를 가진 사람들도 /usr/bin/level5 실행 권한이 있으니 \tmp에 가서 임시 파일이 생성되는지 확인해봅시다. level5를 실행해도 \tmp 경로에는 level5.tmp 파일이 생성되지 않는다.. 뭐지? tmp 임시 파일은 말 그대로 '임시..

문제 : 구매했던 자료, [B] 유출된 자료 거래 사건[3]의 Confidential.doc.hwp를 활용하기 위한 계획을 세움 계획 문서를 암호화해서 숨겨뒀는데 어디있을까요? Confidential.doc.hwp는 todaysmemo.hwp로 이름이 바뀐 기록이 있다.(문제 [B]-[3]에서 하는 내용) 이후 8분 뒤에 todaysmemo.hwp는 삭제된다. 구매한 자료를 봤으니 지우는 모양이다. 같은 시각, 곧바로 메모장을 만들어 구매한 자료를 어떻게 활용할 계획인지 plan.txt로 문서화했다. 이 plan.txt가 문제 설명이 나와있는 계획인 모양이다. plan.txt와 관련한 파일 로그를 살펴보기 위해서 'plan'으로 필터링하였는데, File Deletion 로그를 발견하였다. 그런데 상황 전..

문제 : 아니 오해라니까유;;;; 😅 수상한 사이트 아니잖아! NEXT URL Title도 없는 이 주소...약간 수상하긴 하다 ^^ 들어가봅시다. FLAG 수집 냠냠 끝 !

문제 : 동거자의 이름과 계정이 삭제된 시각을 찾아내시오 ! --^ 7zip으로 압축 풀면 nonamed.vmdk 발견 => FTK Imager로 열어봅시다. 문제 설명에서 보면 하나의 컴퓨터로 두 계정을 사용한 것으로 보이는데, 휴지통에서 두 개의 SID 계정 폴더가 있는 것을 보고 확신했다. User 폴더에 가보니 계정 이름으로 cocktail과 nonamed를 찾을 수 있었다. * Default User 폴더 : 새로운 계정을 위한 Default 폴더 이후, 계정 삭제의 로그을 찾아서 계정의 이름과 삭제 시각을 알아내면 된다. 계정 로그인 시도에 대한 로그는 윈도우 이벤트 로그에서 보안 로그를 통해서 찾을 수 있다. 3. 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 접근의 리소스 사..

문제 : [B] 유출된 자료 거래 사건[1]에서 많은 USB 중 PC에 꽂은 USB를 정확히 찾은 상태, 이제 해당 USB로 옮긴 파일을 찾자. 문제 설명에서 USB에 옮긴 파일을 찾을 때 해당 파일은 어디서 입수했을지 생각하라는 힌트를 제시했다. 파일이 갑자기 뿅 나타날 일은 없으니까 가장 먼저 인터넷 기록인 크롬 기록을 살펴보았다. HISTORY를 export해서 DB Browser for SQLite로 열어본 상태이다. 다양한 URL이 나오는데 그 중에서 이메일과 관련하여 파일 수집 과정을 추론할 수 있었다. 1. Gmail을 사용하기 위해 2. Google 계정을 만들고(아이디도 대충 지었음 yesnamed1234) 3. 받은편지함(1)을 보면 알 수 있는 것처럼 이메일을 수신해 파일을 다운로드한..

문제 : 내부 자료가 유출된 상황, 현장 증거 자료인 USB의 흔적(USB 제조회사, USB 볼륨레이블)을 찾자. USB 외장하드를 연결하면 여러 가지 흔적이 남게 된다. 자세한 과정은 나중에 따로 정리할 예정이지만 간략하게 설명하면 드라이버 설치 흔적, 마운트 흔적 그리고 연결 해제 흔적 등 "여러 흔적"이 레지스트리의 "여러 곳"에 남게 된다. 아래의 경우는 레지스트리의 USBStor 키 항목을 이용하여 사건을 해결하였다. - 사건 파일: 윈도우 레지스트리와 USBStor 텍사스 오스틴의 조그만한 도시, 아동 포르노 사건외장하드에 아동 포르노 발견 -> 노트북 시스템의 레지스트리 USBStor 키 항목 발견 출처: https://ssol2-jjanghacker.tistory.com/entry/이제-시..

문제 : 실수로 중요한 사진을 지운 것 같은데 복구해 줄 수 있냐잉 -_-^ ? (해당 다운로드 파일은 용량이 커서 다소 오래걸림) diskC랑 diskD ad1 나옴 -> FTK Imager로 살펴봅시다. diskD는 오류 메세지가 뜨면서 접근이 불가능하다. 그러나 문제에서는 '사직 복구' 관련 문제이므로 diskD랑은 관련 없는 내용이라 생각했고, 아마 다른 문제에서 사용되는 디스크인 것 같다. diskC를 살펴봅시다. 우선적으로 desktop을 살펴보니 [과제]의 흔적이 남아있었는데, 고양이와 강아지에 대한 심오한..자료를 볼 수 있었다. 이후 downloads를 보는데 youtube.jpg가 Regular File이 아닌 $I30 INDX Entry이다. https://www.osforensics..