일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- slack space
- 윈도우 프로세스
- ftz
- 네트워크 보안
- 정보처리기사 필기 합격
- 실기
- 네트워크관리사2급
- 24시간의 전사
- 생활코딩 html
- disk
- 2022시작
- ZIP 파일구조
- 포렌식
- N0Named
- memory
- 는 하지마...
- 윈도우 프로세스 종류
- Multimeida
- vinetto
- Multimedia
- network
- CTF-D
- html
- 생활코딩
- blkls
- 디지털포렌식 with CTF
- 디지털포렌식
- pythonchallenge
- Window process
- 슬퍼유
- Today
- Total
ssoL2 TISTORY
[N0Named] board 풀이 본문
문제 : 게시판에 불법 게시물이 올라왔다 삭제됐다. 범인의 id와 pw를 찾고 글의 내용도 조사하라.
boad.pcapng를 분석하기 위해 Wireshark를 사용하자.
삭제한 내용을 살펴보려고 맨 뒤에 쌓인 패킷부터 살펴봤다.
언뜻 보니 HTTP 프로토콜로 delete_done과 관련된 URL을 요청한다.
패킷의 추가 데이터는 존재하지 않아 위로 올라가자. 삭제 이전에 작성한 내용이 있을 것이다.
view도 있고
list도 있고
게시글 작성과 관련된 url write_chk.php를 발견했다.
HTTP 프로토콜 POST 메소드로 데이터를 전송하여 게시물을 작성했다.
HTML 양식의 컨텐츠 내용은 제목이 "flag 판매합니다"라는 게시물이며 내용을 보니
이전에 삭제한 경험이 있고, 이 문제의 flag 값도 나왔다. (개꿀)
위에서 (application/x-www-form-urlencoded) 라고 나와있는 것은 패킷에 따라오는 Content-type이다.
application/x-www-form-urlencoded은 &으로 분리되고, "="기호로 값과 키를 연결하는 key-value tuble로 인코딩된다.
밑에 패킷의 HTTP 헤더를 보면 Content-Type이 역시 application/x-www-form-urlencoded 으로 되어있다.
마지막 불법 게시물 올리기 전에 삭제한 내용도 찾아보자.
패킷 순서를 위로 타고 올라가면 또 삭제된 로그를 발견할 수 있다.
위로 타고 올라가면 삭제에 해당하는 write를 발견하고, flag 판매 첫 게시물을 찾을 수 있다.
아래 컨텐츠가 불법 게시물의 시초같다.
위로 더 타고 올라가면 login 기록이 있는데, 두 개의 불법 게시물을 올린 계정은 hacker이고 pw는 helloworld이다.
추가로 해당 계정이 맞는지 확인하려면 IP 혹은 User-Agent 그리고 cookie 등으로 검증 가능하다.
아래 두 source ip 주소는 10.0.2.15로 동일하다. => 동일 계정 확인
아래 두 User-Agent는 완전히 동일하다. => 동일 계정 확인
아래 두 Cookie 값은 완전히 동일하다. => 동일 계정 확인
'challenge > forensic' 카테고리의 다른 글
[CTF-D/Multimedia] 제 친구의 개가 바다에서... (0) | 2021.02.15 |
---|---|
[N0Named] one_data_one_zip 풀이 (0) | 2021.02.14 |
[N0Named] [A] 길에서 주어온 만두 (0) | 2021.02.13 |
[N0Named] [C] Left Side B 풀이 (0) | 2021.02.04 |
[N0Named] [B] 유출된 자료 거래 사건[4] 풀이 (0) | 2021.01.28 |