OLD 2018 ~ 2021/MAJOR → Forensic7 [wargame.catsecurity] Forensic _ HDCON 본선문제 (블로그 이사 : flagmingo->pogn) 2017.09.13 작성된 글 > ( 공격자 ) --> [[ 웹 서버 ]] -접속-> [[ PMS 서버 ]] 비밀압축파일인 cash.zip 압축암호 규칙 공격자는 웹 서버에 침투하여 // 여기까지는 어떻게 들어왔는지 몰라도 된다. PMS 서버에 저장된 압축암호 규칙을 알아냈다. "웹 서버에서 어떻게 PMS 서버로 접속했는지 혹은 접속기록"을 찾아내면 된다.?? 1. 백도어 2. 원격접속 등이 있을 수 있다. 원격 접속(Remote Desktop Protocol) 을 한 경우, 접속을 시도한 컴퓨터(웹 서버)에 " bitmap_cache" 가 남게된다. bitmap cache란, 원격접속을 할 시, 사진단위로 접속할 PC의 화면(PMS서버)를 전송해줄때 남는.. 2023. 10. 30. [CodeBlue2017]_[MISC]_incident_response Solving Process 아래의 패킷을 보면 스트림 14번에서 cookie의 sessid 값 쪽에 버퍼오버플로우로 보이는 페이로드들이 넘어가고 body 쪽에 쉘코드로 추정되는 데이터를 http 통신을 통해 보내는 것을 볼 수 있다. 다음 스트림인 15번 TCP 스트림에서는 쉘 코드가 올라간 이후, 공격자(172.17.0.10) 측에서 명령어를 입력하면 웹서버(172.17.0.2) 측에서 응답 패킷을 보냈을 것이다. 그런데 아마 암호화 된 것으로 보인다... 음..... 그냥 쉘코드이겠거니 하고 넘어가려 했지만 통신이 어떻게 암호화 되어 있는지 명령어로 내렸을 ( 그렇지만, 보통 쉘은 (명령어 - 응답)의 쌍으로 이루어지니깐 아마 두글자는 id 가 아닐까싶다....ㅋㅋㅋㅋ ) 쉘코드 쪽을 분석해야 되겠.. 2018. 7. 26. 180522_Suninatas Forensic(day1) 심심해서 풀었당 Concept 개념정리 WinHex 파일 카빙모드 Tools > DiskTools > File Recovery Type 에서 원하는 파일타입을 설정하고 output path를 설정한 뒤, Complete byte-level search를 선택하면된다. - Complete byte-level search - Hands-on Practice 실습 - Suninatas 14 john the ripper 이라는 크래킹 툴을 사용하여 보았다. 저번에 윈도우로 했다가 잘 안됬어서 리눅스에 apt-get install john 해서 설치했다. 뭐, 사전파일로 어떻게 넘기고 뭐하고 하는 사용법들이 많이 검색되었지만 복잡하길래 john shadow(파일명) 해서 기다리다가 john shadow --sho.. 2018. 5. 22. 180122_[Incident Response report]_WebShell_upload_attack Concept 개념정리 웹서버를 공격해서 할 수 있는 것. 1) SQL 인젝션 : 2) 리다이렉트 취약점 크로스사이트(XSS) --> 심화(CSRF) : 3) 파일 업로드 : 위의 3가지 공격은 " 취약점이 발생하는 지점 "에서 차이점을 가진다. XSS는 클라이언트 취약점인 반면, File upload나 SQL injection은 서버사이드 취약점 이다. 일반적으로 서버사이드에서 발생하는 취약점이 더 critical 하다고 여겨진다. File upload attack ( web shell ) - File uplaod가 가능 한 조건 (1) 업로드된 파일이 서버에서 실행이 가능해야해 ( 파일을 업로드한 서버 내에 파일이 있어야 한다.) (2) 파일을 업로드 할 수 있어야 한다. ( .php 파일은 막혀있는.. 2018. 1. 23. 180118_[IR_Report]_Ransomware Concept DBD (Drive By Download) 공격 : 웹 사이트에 접속한 사용자가 바로 악성 파일에 감염되는 것. ( : 웹 사이트를 해킹하여, 악성코드 유포지에 접속하게 한 다음 사용자 컴퓨터에 있는 취약점을 이용하여 공격하는 방법. (1) 사용자가 해킹된 웹 사이트에 접속 (2) 해커가 해당 웹 사이트에 해킹을 통해 경유지로 자동 연결하기 위해 삽입한 등의 태그에 의해 유포지로 자동 연결된다. (3) 동일한 과정에 의해 다 단계의 경유지를 거침. 일반적으로 유포사이트를 숨기기 위해 여러 경유지를 생성) (4) 최종 유포 사이트에서는 사용자 컴퓨터에 악성 파일을 다운로드 시킨다. 취약점이 있는 컴퓨터는 바로 악성코드에 감염된다. internet exploer에서 어떻게 악성 파일을 바로 생.. 2018. 1. 18. 180107_[IR_report]_linux_webshell Concept 분석 기준 시간? 특정 행위를 기준으로 이전/이후 lsof 명령어는 파일시스템을 unmount 해야할 때, 해당 파일 시스템에 있는 파일을 사용하는 프로세스때문에 잘 되지 않을 때, 해당 파일시스템에 있는 파일에 접근하고 있는 프로세스들을 다 찾아 줄 수 있다. lsof -l 은 모든 네트워크 Socket들을 찾아낼 수 있고, 잘 활용하면 어떤 네트워크 Connection에 의해서 그 목적지, 시작지,등을 알아낼 수 있다. ( lsof -i@security.kaist.ac.kr ) netstat -t 와 함께 사용하여, 해당 파일을 어떤 PID를 가진 어떤 User가 사용하고 있는지 확인가능하다. lsof -iTCP@fool.bbana.co.kr:login cat cmdline root 권.. 2018. 1. 15. 180105_Memory_Forensic Concept PE구조를 가진 Windows 실행파일이 실행되면, 메모리에 실행코드가 올라온다. 각 프로세스별로 이론상 32bit 기준으로 4GB의 연속된 가상메모리를 할당받게 되는데, (사실은 4GB를 모두 쓰는 프로세스는 없다고 한다.) 가상 메모리란 물리적 메모리의 용량과 관계없이 실존하지 않는 가상의 주소에 메모리가 올라가는 것을 말한다. 실제 하나의 프로세스가 쓰는 하나의 가상메모리, 즉 실행 코드는 프로그램에서 필요한 핵심 부분은 RAM(물리 메모리) 잘 활용되지 않는 그 외의 부분은 페이지 파일(하드디스크)로 저장된다. 그렇게 여러 프로세스들의 가상메모리가 각각 RAM과 pagefile.sys에 나뉘어 저장되는 것이다. ( 가상 메모리 = 물리 메모리 + 페이지파일 ) Hands-on Pra.. 2018. 1. 10. 이전 1 다음
