[CTF-D/Disk] 이벤트 예약 웹사이트를 운영하고… #A

문제 : 리버스쉘 침해사고 발생, 웹 페이지 소스코드를 유출한 시간은?

 

 

 

access.log 파일로 웹 사이트에서 요청했던 기록을 분석한다.

리버스 쉘이므로 "cmd="를 검색해서 필터링한다. 

그러면 base64로 인코딩 된 값을 볼 수 있다.

 

access.log

access.log

access.log

access.log

 

 

base64 decoding하면 아래와 같다.

decode site -> www.base64decode.org/

base64 decoding

 

 

결론적으로 /var/www/upload/editor/image/를 tar 압축시키고 reverse.php를 동작시켜 웹페이지 소스코드를 유출했음을 알 수 있다. 따라서 유출 시간은 마지막 php 명령어이므로 2012-08-25_17:26:40이다.

 

 

🚫 flag는 🚫

2012-08-25_17:26:40