ssoL2 TISTORY

문제 : ZIP 파일이 망가졌는데 무슨일인지 알아봐줘! 일단 ZIP 파일을 압축해제 시도해보니 "압축 풀기가 불가능한 압축방식"이라고 나와있다. 따라서, ZIP 파일 구조에 문제가 발생함을 예측할 수 있다. Hex Editor인 HxD로 구조를 파악해본 결과, 총 13개의 Central Directory records가 존재하였다. [50 4b 03 04]는 13개, [50 4b 01 02]도 13개, [50 4b 05 06]는 1개로 개수는 정상이었다. 뭐가 잘못되었는지 zip 파일의 읽는 순서로 따라가보았다. 먼저, End of Central Directory [50 4b 05 06]에서 Central Directory records 시작 offset을 찾아 올라갔다. 0x000015F2는 첫 번째 ..

문제 : 조개를 찾아 열고, 진주를 찾으시오. img 파일을 FTK Imager에서 열어서 분석해보도록 합시다. 가장 유의미한 증거는 clam.pptx랑 dance.mp4이다. 근데, dance.mp4는 이상한 여성분이 갑자기 돌변해서 격렬한 춤사위를 보이신다.. (밤에보면 무섭다) 동영상에 flag가 숨어져 있나 싶었지만 frame 단위로 잘라도 어떠한 증거도 나오지 않는다. 삭제 처리된 수상한 clam.pptx를 추출하였고, 열어보려 시도하였지만 내용에 문제가 있다고 안내한다. ppt도 zip이므로 확장자를 zip으로 바꿔서 압축해제해보자. 그러고 나서 가장 증거가 많이 도출되는 media를 찾기 위해 [ppt]-[media] 경로에 들어가자. 그러면 다양한 조개 관련 사진과 함께 굉장히 수상한 사진..

문제 : hit the core.........?? 코어를 쳐라..? 정확히 찾아야 하는 것을 명시하지 않았다.. 일단 분석하자. core 확장자를 처음 보았기에 무엇인지 찾아보았다. core 파일이란, 비정상적으로 종료되었을 때 현재 프로그램의 상태를 기록하는 파일이다. 기본적으로 segmentation fault 발생 시 생성되는 core dump file인 것 같다. fore1.core 파일인 ELF 파일을 어떻게 분석해야 할까? 먼저 strings로 flag가 출력되는지 확인해보았지만 출력되는 것을 없었다. 전반적인 fore1.core의 string을 살펴보기 위해서 string file을 생성한다. sublime으로 fore1.txt을 살펴보자. 상당히 긴 text data이기 때문에 일일이 살..

문제 : 파일시스템이 손상된 것처럼 보이지만, 이것을 볼 수 있습니까? disk img를 다운받고 바로 FTK imager로 열어보았더니 아무것도 보이지 않았다. 확실히 파일시스템이 손상된 것처럼 보인다.. 그래서 파일 유형을 알기 위해 [file] 명령어를 사용하였더니 그래도 손상되지 않은 ext2 파일시스템 데이터이다. 전체적인 데이터 정황을 알고 싶어서 Hex Editor인 HxD로 살펴보니 앞쪽은 초기화 되어있고, 중간에 살짝 데이터가 존재하였다. 그러고 나서 쭉 0으로 초기화 되어있다가 마지막 부분에 JFIF를 찾을 수 있었다. binwalk로 JFIF의 흔적을 찾을 수는 없어서 foremost를 사용하였다. foremost의 output 추출물을 보니 3개의 JPG 사진이 추출된다. 이 중 꽃..

문제 : 프로그램에서 숨겨놓은 flag를 찾아라. Tommy_2e00c18e3a480959ba5fb4f65ff7f2b7.zip을 압축해제하면 두 파일이 추출된다. out.txt는 다양한 도메인 주소를 알파벳 순서대로 나열한 파일이다. parse 파일의 타입을 알기 위해서 [file 명령어]를 사용하니 MAC 용 executable file이었다. MAC 파일은 또 처음이라.. 분석하기 위해 어떤 방식으로 접근해야 할까 고민하다가 일단 가볍게 string으로 flag가 도출되는지 확인해보았는데 바로 나와버렸다.... 끝 🚫 flag는 🚫 더보기 h4ck1t{T0mmy_g0t_h1s_Gun}

문제 : flash drive에서 "바보 같은 사용자"를 찾아라 find-the-idiot.zip을 압축해제 하면, 정말 순수 drive가 추출된다. 얼추보니 linux 환경에서의 시스템 파일인 듯 싶다. 따라서 FTK Imager로 이쁘게 분석하자. 따라란 ! FTK로 보니까 분석할 마음이 생긴다~ 한바퀴씩 돌아보니 대부분이 0 byte이거나 비어있는 디렉토리이다. etc 디렉토리 안에 유일하게 의미있는 내용을 발견할 수 있다. passwd 파일과 shadow 파일이었는데, 당연히 shadow 파일에서 정보를 얻어야 할 것이다. (passwd를 보호하기 위해서 shadow 파일이 존재하므로) john the ripper를 사용하여 shadow 파일을 돌려보았고, 유일하게 'gohan'이라는 유저의 pa..

문제 : 리버스쉘을 동작시키는 프로세스 pid는? reverse.php을 통해 리버스 셸(Reverse Shell)가 의심된다. 리버스 셸(Reverse Shell) : 클라이언트(공격자)가 리스닝을 하고 서버에서 클라이언트 쪽으로 접속하는 형태 바인드 쉘(Bind Shell) : 클라이언트에서 접속하고 서버에서 리스닝하는 형태 pstree 목록을 살펴보니 수상했던 디렉터리의 php 파일을 확인할 수 있다. reverse.php 이름부터 리버스쉘 각 PID는 5245이다. 끝 🚫 flag는 🚫 더보기 5245

보호되어 있는 글입니다.

문제 : 재부팅 후에도 지속성을 유지하기 위해 멀웨어가 사용하는 레지스트시 키를 찾아라. volatility로 imageinfo 플러그인을 사용해서 운영체제 정보를 얻는다. 재부팅 후에도 자동으로 실행되기 위해서는 "Software\Microsoft\Windows\CurrentVersion\Run"에 등록된다. HKLM\SOTEWARE\Microsoft\Windows\CurrentVersion\Run - Run 키에 등록된 파일은 Window OS가 시작할 때 자동으로 실행됩니다. 출처 : https://securityfactory.tistory.com/131 따라서 레지스트리의 키의 서브키와 값을 출력하는 printkey 플러그인을 사용해서 해당 위치에 등록된 파일을 출력하자. 그러면, GrrCON 2..

문제 : 프로세스 인젝션된 프로세스의 PID를 찾아라. 악성코드에 의해서 프로세스 인젝션이 된 상황이다. 프로세스 인젝션이란, 공격자가 신뢰할 수 없는 프로세스를 프로그램에 주입하도록 하는 공격이다. 수상한 프로세스가 없는지 확인하기 위해서 Volatility를 사용한다. 먼저 imgeinfo 플러그인으로 운영체제 Profile을 얻는다. 이후 프로세스를 확인하기 위해서 pstree 플러그인을 사용한다. 윈도우 시스템 프로세스를 제외하고, 수상한 점이 발견된다. 원래 iexplore.exe(internet explorer)와 같은 사용자 응용 프로그램은 explorer.exe 밑으로 실행되는 것으로 알고 있다. 그러나, 독자적인 iexplore.exe 프로세스가 발견된다. 또한, iexplore.exe의..

정리하기 위한 목적 : Volatility로 프로세스를 분석하다보면 대부분 윈도우 환경에서의 메모리 덤프였다. 매번 다른 메모리 덤프 이미지를 분석하면서도 반복적으로 나오는 윈도우 관련 시스템 프로세스가 존재하는데 해당 프로세스의 부모-자식 관계나 어떤 역할을 하는 프로세스인지를 잘 모르기 때문에 윈도우 프로세스 종류를 정리함으로써 수상한 프로세스를 더 빠르게 잡아내기 위함이다. 1. csrss.exe - Clinet Server Runtime SubSystem의 약자로, 윈도우 시스템에 기본으로 동작되는 프로세스이다. - 클라이언트 요청에 대한 작업자 thread를 만들거나 삭제하고, 16 bit 가상 MS-DOS의 일부를 구현하는 역할을 하는 마이크로소프트 클라이언트 서버 런타임이다. - 중요 프로세..

문제 : 피싱을 성공하게 한 악성코드의 이름을 찾아라!! 피싱이라는 단어부터 집고 갑시다. 피싱(phishing)이란 이메일 또는 메신저를 사용해서 신뢰할 만한 사람이 보낸 메시지인 것처럼 가정해서 개인정보를 부정하게 얻으려는 사이버 범죄이다. 그러면, 이전 문제에서 얻은 수상한 파일에 악성코드가 있음을 유추할 수 있다. https://ssol2-jjanghacker.tistory.com/entry/CTF-DMemory-GrrCON-2015-2 [CTF-D/Memory] GrrCON 2015 #2 문제 : 수상한 이메일에 첨부되어 있는 파일은 무엇인가? GrrCON 2015 #1 문제와 이어지는 풀이 과정이기에 참고하시길 ! https://ssol2-jjanghacker.tistory.com/entry/..