write up
-
HackTMCTF Write up$ Capture The Flag $ 2020. 2. 6. 00:04
Forensic Strange PCAP 파일을 열어보면 Protocol이 USB로 나와있습니다. USB Protocol 이란? 로컬 컴퓨터와 USB 사이의 통신 내용을 패킷으로 잡을때 사용되는 Protocol 입니다. Info에 다양한 통신 기록이 존재 합니다. 그중에서 데이터를 담을 만한 Info 는 usb.transfer_type이 0x01 인 "URB_INTERRUPT in" 입니다. filter 에서 usb.transfer_type == 0x01 을 입력하면 Info 가 URB_INTERRUPT in 인 패킷만 출력이 되게 됩니다. 그리고 URB_INTERRUPT in 에 데이터를 담기 위해서는 Capture Data 에 들어있습니다. 위와 같이 Leftover Capture Data 에 값이 들..
-
Digital Forensic Challenge 2019 MOI300 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 20:00
위의 사진에서는 풀이해야하는 항목들만 나와있지만 Desciption을 확인해 보면 제공된 증거는 무선 라우터의 SPI 플래시 메모리의 물리적 덤프 파일이라고 합니다. 풀이해야하는 내용은 다음과 같습니다. 1) 덤프 파일의 구조를 확인한다. ▪ 부트로더, 커널 및 파일 시스템. 2) 부트로더 기본주소를 찾으십시오. 3) 부팅 명령줄 인터페이스 입력 방법 식별 4) 부팅 명령줄 인터페이스 메뉴 설명 5) 웹 관리자 사용자 이름과 의심스러운 무선 라우터의 암호를 파악한다. 6) 무선 라우터에 등록된 WoL(Wake on LAN) 목록 1) 덤프 파일의 구조를 확인한다. 먼저 간단한 구조를 확인 하기 위해서 binwalk 를 이용하면 쉽게 확인이 가능합니다. bootloader 는 U-Boot이고 버전은 1.1..
-
Digital Forensic Challenge 2019 MOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 17. 19:55
문제를 확인해 보면 위와 같이 160점, 20점, 20점으로 배점이 나누어져 있습니다. 또한 압축 파일을 확인해 보면 NAND_Dump.bin 이라는 파일이 존재 합니다. 이름이 NAND Dump 인것으로 보아 NAND Flash의 덤프 파일이지 않을까 생각을 해봅니다. Description을 확인해 보면 Set-top Box 의 덤프파일을 분석하는 것이 주된 목적이라고 합니다. Set-top Box 란? 대부분의 가정 집에 존재하는 제품으로, TV에 연결되어서 외부에서 들어오는 신호를 받아서 적절히 변환을 시키는 역할을 하는 장치로 전달 받은 신호를 TV로 출력해주는 장치를 이야기 합니다. Question은 아래와 같습니다. (1) 2개의 squashfs file system을 복구하기( Clear p..
-
OtterCTF Memory Forensic write up$ Capture The Flag $ 2020. 1. 16. 21:29
다운로드 받은 메모리 파일의 user password를 구하는 문제 입니다. 먼저 해당 메모리 파일의 Profile을 알아 보겠습니다. Win7SP1x64 를 이용하면 될 것 같습니다. User의 Password를 알아 내기 위해서 SAM 파일과 SYSTEM 파일을 이용해서 NTLM Hash을 알아 보겠습니다. 518172d012f97d3a8fcc089615283940을 해시값으로 여러 NTLM 해시 크래킹 사이트를 이용했지만 성공하지 못했습니다. 이번에는 문자열로 Password를 시스템 LSA 암호에 저장할수도 있기 때문에 lsadump 플러그인을 이용해 보겠습니다. DefaultPassword에 MortyIsReallyAnOtter이 있습니다. Flag : CTF{MortyIsReallyAnOtte..
-
Digital Forensic Challenge 2018 VOI200 문제 풀이$ 포렌식 $/$ 포렌식 문제 풀이 $ 2020. 1. 15. 21:56
문제를 보면 공격자가 악의 적으로 사용자 PC에 접속해서 볼륨을 암호화 하여 사용자의 비밀번호를 변경했다고 합니다. 메모리 덤프를 분석해서 암호화된 볼륨의 변경된 사용자 암호와 키를 가져와 이 사례를 해결하는 것이 문제입니다. 아래의 내용은 필수 적으로 작성해야합니다. - 사용자의 비밀번호를 메모리에 저장하고 사용자의 비밀번호를 얻는 원리에 대해서 설명한다. - 메모리에서 암호화된 볼륨의 암호를 해독할 수 있는 키를 얻는 과정과, 획득한 키와 키를 사용하여 볼륨을 해독하는 방법을 설명한다. 파일을 열어보면 아래와 같이 총2개의 파일이 존재 합니다. 하나는 메모리 덤프 파일인것 같고 Secret 파일은 어떤 파일인지 모르겠어서 file명령어를 이용해 봤습니다. file명령어를 사용한 결과 Disk File..
-
-
[Renewal] webhacking.kr old-40 [500]$ 웹 해킹 $/webhacking.kr 2020. 1. 11. 16:02
문제를 확인해 보면 위와 같이 no , id , pw에 입력이 가능한 폼이 존재 합니다. login을 눌러보면 다음과 같이 URL에 GET 방식으로 값이 서버로 전송이 되는것을 확인할 수 있습니다. 또한 로그인에 성공을 하면 아래와 같이 Success - guest가 출력이 됩니다. 그렇다면 이번에는 no, id, pw중 어디에서 SQL Injection이 터지는지를 확인해보겠습니다. 위의 파라미터를 입력하면 아무런 일이 일어나지 않지만 위의 파라미터를 입력하면 Success - guest 가 출력이 됩니다. 그렇기 때문에 no에서 SQL Injection이 가능합니다. 먼저 admin을 띄워 보겠습니다. 위의 파라미터를 입력해 보면 필터링에 걸려서 아래와같이 출력됩니다. %20 인 띄어쓰기에서 필터링이..
-
[Renewal] webhacking.kr old-39 [100]$ 웹 해킹 $/webhacking.kr 2020. 1. 11. 16:01
심플한 입력창입니다. 소스코드를 확인해 보겠습니다. 이문제는 입력하는 칸에는 15글자만 가져오고, 쿼리문에서는 13글자 이하여야 한다고 합니다. 하지만 id쪽 쿼리문을 보면 싱글쿼터를 열고 닫지 않은것을 확인할 수 있는데, 입력하는 입장에서 쿼리문을 닫아야 하지만 하나의 싱글쿼터가 입력이 되면 싱글쿼터 2개로 치환을 합니다. ' -> '' 그렇기 때문에 '를 입력하기 쉽지가 않습니다. mysql을 공부하다가 알게 된 사실이 하나 있는데 'a' 와 'a ' 와 똑같이 인식을 한다는 점입니다. 해당 문제에서 깊게 다룰 이야기는 아니니 간단하게 설명을 하자면.. mysql 에서 칼럼의 형식을 지정할때 char, varchar 등등 여러 형식이 존재 하는데 char 형식일때 생기는 상황입니다. char(5) 라..