ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Disk - 이벤트 예약 웹사이트를 운영하고… #A,B,C
      $ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 11. 6. 00:19

       

      일단 문제 파일을 열어보면 아래와 같이 여러 폴더를 확인 할 수 있다.

       

      각각 폴더에 들어있는 파일을 봐보겠습니다.

       

      accounts : group(사용자 그룹 목록), history(사용자가 사용한 명령어 목록), last_R, lastlog, passwd, shadow, w

      file : fls_r_m, mactime_b

      network : arp, lsof(폴더와 관련된 파일및 프로세스 목록), netstat_an

      osinfo : date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a

      process : crontab, ipcs_u, lsmod, ps_eaf, pstree_a, sad

      weblog : access.log(웹 로그 목록)

       

      해당 폴더들은 디스크 이미지나 메모리 덤프 파일이 아니기 때문에 먼저 log 파일을 봐야 합니다.

      accounts\history 파일을 열어보면 아래와 같습니다.

       

      history 파일은 모든 폴더에 다있으며 기본적으로 .bash_history 라는 이름으로 존재 합니다. 

      사용자가 해당 폴더에서 사용했던 명령어를 전부 기록 해놓은 파일입니다.

       

       

      /var/www/upload/editor/image 파일을 777 권한을 주는 명령어가 눈에 보입니다. 

       

      그리고 process\ps_eaf 로그 파일을 분석 해본 결과 아래와 같은 명령어를 확인 햇습니다.

       

      웹 쉘파일로 판단되는 reverse.php 파일을 php 명령으로 작업을 하는 것을 확인 했습니다.

       

      /var/www/upload/editor/image/reverse.php 의 PID 는 5245 입니다. <- C 문제

       

      이제 lsof 로그파일을 확인해 보겠습니다.

      lsof 로그파일은 열려있는 파일에 대한 프로세스 데이터 정보를 가지고 있는 파일입니다.

       

      위의 파일을 보면 php 로 실행 됫다는 것을 확인 할 수 있습니다.

      앞서 올라간 reverse.php 파일을 실행 했다는 것을 암시 하는 명령어 입니다.

       

      B문제를 보면 공격자 주소를 찾는 문제인데 리버스 쉘을 이용해야 하므로 PID가 5245였을때 공격 IP를 찾으면 됩니다.

       

      144.206.162.21 인것을 알 수 있습니다.

       

      이제 외부로 소스코드 유출 한 시각을 찾으면 되는 것 같습니다. 

      웹 로그 데이터를 담고 있는 access.log 파일을 분석해 보겠습니다.

       

      너무 많은 양의 log 파일이 있기 때문에 /upload/editor/image 로 검색을 해보겠습니다.

       

      3개의 base64 인코딩된 문자열이 있습니다.

       

      bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw

      ls -al  /var/www/upload/editor/image/

       

      dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw

      tar -cvf /var/www/upload/editor/image/1330664838 /var/www/

       

      cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA

      php -f /var/www/upload/editor/image/reverse.php

       

      위의 명령어를 보면 tar 명령어로 압축을 하고 reverse.php 를 실행 시켜서 외부로 유출 한것 같습니다.

      그때의 시각을 알아보면 다음과 같습니다.

       

      112.216.97.29 - - [25/Aug/2012:17:26:40 +0900] "GET /upload/editor/image/cmd.php?cmd=cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20 HTTP/1.1" 200 294 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

       

      25/Aug/2012:17:26:40 +0900 입니다.

       

      Flag-A : 2012-08-25_17:26:40

      Flag-B : 5245

      Flag-C : 144.206.162.21

       

      출처 : 디지털 포렌식 with CTF

      '$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글

      Disk - A회사 보안팀은 내부직원...  (0) 2019.11.06
      Disk - 판교 테크노밸리 K기업에서... #1,2  (0) 2019.11.06
      Multimedia - hohohahiho  (0) 2019.11.06
      Multimedia - stream  (0) 2019.11.06
      Multimedia - 각각의 소네트를 똑같이 즐기시오.  (0) 2019.11.05

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바