키자드에 등록된 pouerccat의 네이버 블로그 포스트 목록

오랜만에 포스팅을한다. 요즘에 너무 바뻐서 정신이 없었다.ㅜㅜ그냥 시간날때마다 풀이를 안올릴생각으로 짬짬히 풀어서 증빙이 없는데... 귀찮으니 몇개만 적고 점수만 업로드해야겠다.쉬운문제답게 level1이라고 되어있다.소스코드 보기해보면 level이 5초과 면 패스인데 6이상 이면 안된다.해당부분잡아서 5.5로 변경 제출하니 끝6번 문제접속하니 guest고 비밀번호를 알려준다.해당소스코드보니 문자열 치호나 및 base64로 되어있는걸 알 수 있다.아이디를 admin 비밀번호를 nimda로 하면 패스이다.멍청하게 하지말고 위와같이 암호화 소스코드를 만들었다.돌려보면 결과를 출력해주는데 이걸 쿠키에 넣어서 제출하니 완료.난이도가 쉬.......

[웹해킹] webhacking.kr 14번 [내부링크]

자바스크립트 형태로 문제가 제공된다. ul에 .kr을 붙이고 30을 곱하고 이것저것해서 결과가 pw와 같으면 패스다.귀찮아서 자바스크립트 자체를 수정해버렸다. ck()로 함수 강제 호출해주고 리프래시 하니 패스 끝

[웹해킹] webhacking.kr 15번,16번,24번,26번 [내부링크]

접속하면 바로 접근불가 오류 띄우고 리다이렉트 된다.자바스크립트를 끄고페이지를 보니 이동하면 플래그를 준다. 끝16번뭔문제인지 모르겠다. 별이 움직이는거같은데? 어쩃든 분석할 필요없이 cd를 내가 줘서 스크립트를 수정해버렸다.ㅋㅋ그랬더니 플래그를 주는데 그냥 자바스크립트 수정하는게 훨빠른것 같다. 다른분들은 어떻게 풀었을까? 끝24번ip를 바꾸면 되는거 같다 소스를 보니 127.0.0.1로 만들어야 되는데 필터링 구문이 많이 걸려있다.위와같이 소스코르를 만들어서 테스트를 해보니 정상적으로 127.0.0.1로 찍힌다.해당값 쿠키에 넣으면 끝 26번id가 admin이어야하는데 admin에 필터링을 걸어놨다. 우회를 하려고하는데 ur.......

[웹해킹] webhacking.kr 최종 [내부링크]

그냥 심심풀이로 풀어봣는데. 모든 풀이를 다 안찍어놔서... 기록하려고 올린다. 3시간 기준으로 3050점을 취득했으니 나름 만족.ㅋㅋ 좀더 빨라진거 같다..?어려워서 웹해킹은 잘안하게 되는데나중에 시간되면 더풀어봐야겠다.

나중에 공격할때 쓰려고 정리하자.(악용 방지 우회 안적음) [내부링크]

모든 우회는 악용할까봐 적지 않는다. ㅎㅎ 개인적으로 보관용도1. 웹쉘 간단업로드취약점 태스트할때마다 작성하려고 찾는게 귀찮당...ㅋㅋ그래서 그냥 만들어 올린다.(가급적 weebly 쓰자 ㅎㅎ;)2. SSTI 취약점 TEST3. 쿠키 탈취

[dreamhack-web] 웹 해킹 푼 최종 [내부링크]

웹만 풀었다. ㅋㅋㅋ 드림핵은 내가 풀었던 모든 ctf 사이트 중 정말 잘만든 사이트 라고 생각하고 대단하다고 생각한다.더풀려고 했으나.. 시간이 많이들어서.. 이정도만 풀고 끝냈다.총 5시간씩 3일 소요..문제 풀이 공유 및 업데이트가 금지 되어있으므로.웹 푼 문제 리스트는 아래와 같으니 질문있으시면.. 언재든지 해주시면 힌트를 드리겠습니다.(풀이도 있음)ㅎㅎ;시간이 남으면 리버싱이랑 포너블도.. 풀어봐야겠다. 끝

(해킹)HacktheBox-LAME Writeup [내부링크]

굉장히 좋은 문제다..ㅋㅋ(내가 풀었기 떄문,,?)핵더박스 결제를 했는데.. 전혀 돈이 아깝지 않다. 언넝 풀어보자 ㄱㄱㄱ일단 어떤시스템인지 보기 위해서 위와같이 nmap 스캔을 시도했다.열려 있는 포트는 21,22,139,445이다. 22는 기본적으로 열려있기에.. 그냥 패스하고 ftp와 smb공격임을 짐작할 수 있다.21번이 열려있고 vsftpd가 동작중이니 해당 ㅜ치약점을 검색해보면 rce 취약점이 존재함을 알 수 있다.msfconsole을 이용해서 해당 취약점을 찾아서 공격하면..rshots설정을 깜박했다 .ㅋㅋㅋ 다시 고고고했지만.. 세션이 만들어지지 않는다.. 익스플로있은 성공했지만.. 찾아보니 해당 취약점이 패치 되어있어서 따른 취약점을 이용해야.......

(해킹)HacktheBox-Legacy Writeup [내부링크]

시간없으니 바로 롸업 ㄱㄱㄱㄱ~일단 가장먼저해야 할 것은 어떤 포트가 열려있고 서비스 중인가다 .ㅎㅎ보면 139,445,3389서비스가 동작중인데..대부분 smb/netbios관련 포트다. 또한 윈도우에서 동작하고 있는것을 확인했다.해당 취약점이 있나 검색해보면.. 없다.. 그냥 netbios로 검색해서 그런가..? ㄴ여기서 너무 오래걸렸는데.. 엄청 좋은 방법을 알아냈다.위와같이 그냥 취약점을 검색할 수 있도록 nmap이 지원해준다... ㄷㄷ 대박 앞으로 자주 사용할듯??해당 결과를 확인해보면.. cve-2008-4250의 취약점이 있음을 확인할 수 있다.(MS06-067)이름으로도 확인가능한대. 원격 코드 취약점이다.!! 이거구만?해당 취약점을 검색해보니.. 있.......

(해킹)HacktheBox-optimum Writeup [내부링크]

이것도 평점이 상당하게 좋다. ㅎㅎ풀이에서 나오겠지만 쉘을 얻는거 까지는 쉬운편이었다.하지만.. 권한상승에서 엄청 막혔는데.. ㅜㅠ 어렵다.. 아직 노하우가 없는걸까..일단 대상을 스캔해야지.. 스캔해보면httpfileserver로 80번 포트가 열려 있다. ㅎ흠.. 들어가서 보면 HFS로 파일 업로드하는 기능이 있는 웹서버다.해당 SEARCHSPLOIT으로 검색해보면 2.3.x버전에서 원격쉘 취약점이있다. ㅎㅎhfs로 검색하게 2개가 있는데..인터넷에서 서핑해보면 cve-2014-6287로 취약점이 있음을 확인할 수 있다.ㅎㅎ이걸 써야 겠구만.?바로 익스플로잇을 시도하기 위해서 메타스플로잇을 켰다.위와 같이 설정을 하고..돌려보면 정상적으로 쉘이 떨어진.......

(해킹)HacktheBox-devel Writeup [내부링크]

흠.. 악마가 제목이라니.. 얼마나 악마같이 어렵길래..ㅎㅎ 문제를 들어가보자.nmap으로 서칭해보면 ftp와 80으로 웹서비스가 열려있다.. 흥미로운데?근대 더욱 흥미로운건 ftp에 익명계정으로 로그인이 허용되어있다는것이다.페이지를 들어가보면.. 그냥 그림하나 떡하니 있다.ㅋㅋ;;뭐지취약점을 서칭해봐도 딱히 원격 공격에대한 취약점은 없다..ftp는 너무많은데.. 어떤 WINDOWS FTP인지모르겠다.NMAP결과로 익명로그인이 가능했으니 익명으로 로그인해서보면 위의 2개의 페이지가 있다.또한 ASPNET_CLIENT가 있는걸보아.. asp 서비스가 가능한 웹서비스 인것 같다 .ㅋㅋ* 이걸 이제보네..ㅠㅠ미리알았으면 좋았을려만.. php로 웹쉘을 작성해.......

(해킹)HacktheBox-blue Writeup [내부링크]

가장 우선이 되는 네트워크 스캐닝이다. 네트웤 ㅡ스캔을 해보면 SMB,NETBIOS관련 포트가 열려져있고 RPC 관련 포트도 열려있는것을 확인 할 수 있다.저번에 배웠던 script를 이용해서 smb와 netbios 취약점을 검색해보면 위와같이 ms17-010의 취약점이 존재하는 것을 알 수 있다.해당 취약점을 메타스플로잇서치해보면 7개나 있다 ;ㅋㅋㅋ 그중 가장먼저 great라고 되어있는 취약점으로 공격시도공격이 성공하지 않는다... 왜일까..?check로 확인해보면.. doublepulsar기능이 꺼저있거나 찾지못한댄다.. 그럼 따른걸 시도해봐야 겠구만..ㅜ바로위에있던 다른 취약점을 공격 시도 바로 쉘을 내어준다 ㅋㅋ위와같이 플래그를 제출 !! 끝 오랜만에.......

(해킹)HacktheBox-beep Writeup [내부링크]

상당히 재밌고 흥미로운 문제였다.. 나에게는 조금 어려웠는데.. 왜인지 아래에서 설명하겠다.공격의 시작은 무조건 nmap이다 ㅎㅎ 무슨 서비스를하는지 알아야 공격도하지..공격해보면 다양한 포트가 열려있는데.. 그중 80웹서비스와 445 웹서비스가 있다. 또한 각종 웹 페이지가 열려있다.여기서 뻘짓을 많이 했는데 그냥 거두절미하고 443으로 들어가보면..위와같이 elastix 페이지를 제공해준다.그래서 관련 취약점을 검색해봤는데.. 여기서 아 쉽네?? 싶었다 .ㅋㅋㅋ 근대..익스플로잇을 해도 .. 쉘을 주지 않는다.. 왜일까..ㅜㅜㅜ 역시 난초보다.. 그래서 고수님들의 도움을 얻어보니.. LFI취약점을 찾아보란다..서치익스플로잇에 마침 관.......

[Hackthebox-forensic] Obscure [내부링크]

* 의도치 않게 여러 사이트에 대해 크리티컬 한 취약점을 발견하였으니.. 해당 공격 기법을 따라하다가 발생하는 문제는 전적으로 본인에게 있습니다. 절대 타 사이트를 공격하지마세요!개인적으로 가장 재밌게 풀고 실제 상황에 가까운 문제인거 같아 즐겁게 풀었다.롸업이 따로 공개가 되지 않아서 끙끙 대며 4일 내내 풀었는데.. 혼자 풀었다는거에 나스스로 칭찬을...ㅎㅎ(그리고 본의 아니게 사이트 취약점도 한개 발견..ㅋㅋㅋㅋ)파일을 받아서 압축을 풀어보면 위와 같이 3개의 파일이 제공된다. 흠... 일단 모르겠어서 와샥으로 pcap부터 열어보니..같이 첨부되어있던 support.php 낯익은 파일을 통해 뭔가 주고 받았단걸 알 수 있다..ㅋ.......

[python] 트위터 글 중복제거 웹 크롤링(tweepy 사용 안함) [내부링크]

이번 핵더박스를 풀면서 트위터의 타임라인을 크롤링해야해서 파이썬으로 코드를 작성해봤다.tweepy api를 이용하면 예재도 많고 5분이면 뚝딱 작성했겠지만..파이썬 연습하는김에 예재없이 혼자서 api없이 그냥 만들어 봤다... 덕분에 개고생;ㅋㅋㅋ(앞으론 이용하자 ㅋㅋ)중복된 글은 가지고 오지않게 작성했는데.. 진짜 크롤링이 편하긴하구나 ㅋㅋ 라는걸 느꼈다.퍼갈때는 반드시 출처를 밝히도록...! ㅎㅎ난 귀찮음이 많아.. 주석따위는 작성하지 않지만.. 질문에는 친절하니 언제든지 댓글이나 메일 주시면 답변해드립니다.^^ 감사합니다.

[powershell] 코로나19로 인한 원격 근무시 클립보드 및 파일전송 대책 [내부링크]

완벽하진 않지만.. 다니던 회사에서 코로나19로 인해 긴급하게 원격 솔루션들을 도입하고 있다.하지만 실제로 건물이 패쇄 될 경우.. 어떻게 해야 할까? 경영진의 입장에서도 큰 리스크고 영업손실이 엄청나기에..손가락만 빨고 있을순 없을 것이다.그렇다고 그냥 원격을 열어주면 내부망에 악성코드 유입 및 정보유출에 대한 위험이 엄청나게 증가할 것이다.그래서 임시로 로컬그룹정책편집 및 레지스트리를 이용하여 임시로 대안을 작성하였다.(회사에 AD도 없음.ㅠㅠ)기본적으로 배포할때 나는 BAT파일을 이용해서 배포하였다. (BAT파일의 관리자 권한으로 1시간 단위로 설정 및 ELK로 파싱하여 로그 수집하게 짜놨음)기본적으로 클립보드 복.......

[Hackthebox-forensic] Fotgot me Not! [내부링크]

흠.. 정말 흥미로운 문제다. 요즘 메모리 포렌식을 공부하는데 그에 맞는 문제라서 즐겁게 풀었고 Volatility의 플러그인 추가 및 프로파일 추가하는 방법에 대해서 배울 수 있었던 문제다.메모리 포렌식을 공부하고자 하는분들께 추천드린디ㅏ.일단 첨부되어있는 압축 파일을 풀어보면 2개의 파일이 존재한다... 흠 뭘까하나는 deep_memory라는 메모리 덤프파일이 들어 있었고, 또다른 하나는 처음엔 몰랐지만.. 이제는 아는 " 리눅스 프로파일" 추가를 위한 파일이 었다. 자세한 방법은 아래에 설명...ㅎㅎkernel.zip을 압축해재하여 보면 또 다른 .zip 파일이 있다.2개의 압축파일을 열어보면 위와같이 설정되어있는데.. moudule.zi.......

[Hackthebox-forensic] Blue Shadow [내부링크]

간단하게 문제를 해석해보면 슈퍼 바이러스가 인터넷과 기계로 퍼졌는데 @blue_shad0w_트위가 근원이란다. 블루 쉐도우 바이러스가 퍼졌으니... 무슨일인지 알아봐달라는거다.이 문제는 기본적으로 파이썬을 연습할 수 있게해줘서 좋았던 문제다.(크롤링과 파이썬 공부도움됨)자 그럼 풀어보자!일단 해당 트위터로 접속해보면 트윗에 0과 1로 이루어진 트윗이 엄청많다..ㅋㅋ처음엔 다 드래그해서 빼면 되겠지 했는데.. 트위터 스크롤이 자동 갱신 방식이라 스크롤 되지 않는다..하.. 그래서 파이썬으로 크롤링 코드를 작성하게 되었는데 아래와 같다.결과는 성공적으로 추출했지만 문제가 있었다..ㅋㅋㅋ바로 0으로만 이루어진 트위터가 있어서.......

[CTF-D] 거대한 마약 조직을 잡으려는... [내부링크]

문제를 보면 난이도가 어려운 문제 답게 힌트가 제공이된다.진짜 푸는것도 그에 맞게 어려웠다.. 일단 다운받아서 풀어보자.위와 같이 디스크 이미지 파일이 제공이된다.나는 기본적으로 이런 문제를 풀면 일딴 아티펙트를 일부 추출한다.. 기본적으로 위와 같이 추출하였는데 왜그랬는지 간단하게 의식의 흐름대로 롸업을 작성하겠다.디스크 이미지에 들어가보면 팀뷰어와 스카이프가 깔려있음을 확인했다.힌트에서 메일이 아닌 다른 수단으로 전달을 했다고 하니.. 일단 2개는 유심하게 살펴봐야겠다는 판단을 하게 되었다.또한 메일을 사용하긴 했을것 같았다. 그래서 아웃룩 아티펙트를 조사중 ost파일이 있는것을 발견하였고 해당 아티펙트.......

[CTF-D] 피터의 살인 사건에 대한... [내부링크]

위의 시나리오를 받으면 AreYouWorthy.E01 파일을 제공해준다.힌트로 브라우저 기록과 파일 삭제라는데.. 잘 기억해두자.일단 이미지 파일을 열어서 서칭해봣는데.. 토르 브라우저가 있다.. 하.. 그럼 토르 브라우저 아티펙트와 관련된 문제인가 싶엇는데..? 답을 보면 알겠지만 아니었다.. ㅎㅎ;; 개고생일단 여기저기서핑을 해봤는데.. 힌트로 브라우저 기록이랬으니.. 크롬 브라우저와 IE 브라우저 히스토리 기록을 추출하였고 추가적으로 OST 파일도 추출하였다.관련 경로 및 아티펙트는 따로 정리해 두었으니 아래에서 확인 가능하다.https://blog.naver.com/pouerccat/221827019908그리고 서핑 중 keepass.kdbx가 있는것을 발견했다. 이걸.......

[bat 스크립트] txt,csv 등 텍스트 파일 합치기 (제목 포함/미포함) [내부링크]

굉장이 오랜만에 글을 쓰는 것 같다.ㅎㅎ요즘 너무 바쁘기도하고.. 공부할 시간이 많이 부족해서.. ㅜㅜ- 가 정 -임직원 혹은 시스템 로그가 txt,csv 같은 텍스트 형태로 제공되는데.. 파일만 수천개에 이걸 한개의 엑셀 파일로 만들어 보고를 해야한다. 어떻게 보고 할 것인가?나는 노가다를 기본적으로 좋아하지 않는다.ㅎㅎ 그래서 당연이 파일을 합치도록 스크립트를 작성했다.* 아래는 제목을 포함하여 한 파일로 합쳐서 output.txt 란 이름의 텍스트 형태로 떨어지게 작성 되어있다.그렇다면 제목을 포함하지 않고 어떻게 파일을 합쳐야 하는가?이건 간단하다. 위와 같이 cmd 명령어 한줄로 쓰면 된다.다만 순차정렬이 안되니 sort 혹.......

[DFC 2019] MOI 100 [내부링크]

문제를 보면 안드로이드 폰을 분석해서 아래와 같이 보고하라는 거다.1. 하드웨어 정보2. IOT 연결 성공 흔적3. 와이파이 SSID문제가 100점 짜리 답지 않게 어렵다; DFC는 다이런가..?ㄷㄷ정답만을 적을 순 있지만 내가 풀었던 의식의 흐름대로 작성하겠다.ㅎㅎ첨부되어있는 압출을 풀면 위와같은 아티펙트만 제공해준다.제일 뭔가 정보가 있을거같아..흠.. 일단 가장먼저 Databases를 확인했다. 위와같이 .db 파일은 하나만 존재했는데.. 저기안에는 아무정보도 없었다..(일부로 삭제한듯..?)그런대 grizzly라는 파일도 있는데.. 이건뭐지?hxd로 봐보니 .db 파일이었다. ㅋㅋ 사실 shm,wal을 보고 대충 눈치 채긴 했는데 파일 시그니처를 보니 확.......

[스미싱/SMS/피싱]안드로이드 APK 악성코드 분석 [내부링크]

회사에서.. 일을하다가 우리회사를 사칭한 나쁜놈들이 피싱 서버를 구축하고 사용자들을 낚는다는 신고를 받았다.해당 샘플을 얻을 수 있게 되어서 Ahnlab 측에 분석요청하였고.. 오래걸릴 거 같아 초보자지만... 내가 먼저 간단하게 분석했다.* 추가로 안랩측 보고서와 비교한 결과 일치하였다 ㅎㅎ* 동적분석한 내용은 회사정보가 있어서 포스팅하지 않겠다.일단 샘플 apk 가 있다.분석하기 위해 3개의 파일을 위와 같이 다운받았다.해당 apk를 apktool을 이용해서 디컴파일링 시켰다.위와같이 디컴파일링 됬는데 분석을 위해 smail로 이동해서 위와같은 여러개의 폴더를 확인할 수 있다.하지만 분석에서 가장먼저 봐야하는건 역시 AndroidMani.......

[PICO CTF 2019] c0rrupt [내부링크]

개인적으로 PICO문제중에 가장 고생해서 푼 문제이다...끅... 풀어보자..파일을 열어보면 파일 시그니처가 없었다.. 그래서 Footer 시그니처를 확인해보니 위와같이 png 시그니처가 존재하는것을 보고 당연이 png 파일이구나하고 수정하기 시작했다.파일시그니처를바꿔주고.. 열어보니 안열린다... 끅.. 뭐지.? 싶어서 도구를 이용하기로 했다.pngcheck를 이용해서 해당 파일 확인해보니 알수없는 chunk가 존재한다고 한다..ㅋㅋ 저기가 문제였구만?알기 쉽게 비교를 하자면 building.png란 파일은 일반적인 png 파일이다. 위와같이 IHDR 청크가 존재하는데 우리가 받은 파일은 그부분이 손상되어있었다. 그래서 위와같이 IHDR로 바꾸어서 열어줬.......

[PICO CTF 2019] like1000 [내부링크]

tar 파일을 제공해준다.. 이때는 like1000의 의미가 뭔지 몰랐으나...해당 파일 다운받아서 압축을 풀어보면.. 999 998 이런식으로 1000번이 압축되어있다... ㅋㅋㅋ이걸 노가다로 풀면 바보지..?tar파일은 기본적으로 위에 압축 데이터들이 있고 실제 데이터들은 밑에 존재한다.!알고싶으면 구글링 고고고그래서 1.tar로 검색해서 이동한다음 어떤 파일이 들어있나보니..딱봐도 flag.png가 존재한다 ㅋㅋ 이게 답이겠구나 싶어 내려보니png 해더와 푸터 시그니처가 보인다 해당부분 카빙을 떠서....png 파일로 저장해서 열어보면...위와같이 플래그를 제공해준다. 끝!

[python] 웹페이지 읽고 base64 디코딩 [내부링크]

volatility 유용한 명령어 모음 [내부링크]

* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # ‘pslist’와 ‘psscan’를 비교 은닉된 프로세스를 찾을 수 있음.volatlity -f [파일명] --profile=[운영체제명] netscan> netscan.txtvolatlity -f [파일명.......

pouerccat은 노력 및 성장중입니다... [내부링크]

2020년 부터 대회 연습 시작!.ㅎㅎ 갈길이 멀다.. 열심히 해보자..!참여한 대회 및 경험- 2019 Critstmas CTF 27위- 2020 Codegate 일반부 60위- 2020 Newsecu 12위- 2020 대규모 침해사고 분석 조사(완벽 수행)자격증 - CISSP- 정보처리기사- 정보처리산업기사- 정보보안기사(실기 예정)- 정보보안산업기사- OCP 11-G- 리눅스마스터 2급- TOEIC 700점조만간 도전 할 자격증- ISMS-P- OSCP - TOEIC 850점 목표- CISA- CPPG- 디지털포렌식 2급학력 및 주소- 1994년생 경기 거주- 대림대학교 모바일인터넷학과 학사 졸업- 성균관대학교 정보통신대학원 정보보호학과 석사 졸업예정교육 및 이력- 국내 3위 규모의 저축은행 정보보호팀 주임 (2018년.......

[Hackthebox-forensic] MarketDump [내부링크]

핵더박사는 기본적으로 박스 문제들이 너무어렵다..ㅋㅋㅋ 근대 이건 첼린지이니.. 풀만하겠찌..? 란생각으로 도전했는데 역시.. 난이도가 좀있다.ctf 로 출제된다면 한 기본적으로 150~300점 정도의 문제들인것 같다.일단 고고고~흠.. 영어 해석하기 귀찮으니.. 대충 요약하면 웹시스템이 해킹 당했고 해커가 특정 고객을 노린거 같다는데 그걸 찾아보라는 내용이다..파일을 다운받아서 열어보면 어마어마한 rst패킷이 있다. 이걸보고 대략 난 아..해커가 포트스캐닝을 시도했다는걸 알 수 있었고... 실제로 통신이 이러어진 부분부터 보기위해서 쭊쭊 내려봤다.자이 부분까지 내려봣더니.. tcp통신이 존재한다. 가볍에 stream을 보면.. 특이점.......

[Hackthebox-forensic] Illumination [내부링크]

요번 문제는 git에 대해 알지 못하면... 풀기가 좀 난해하다. ㅋㅋ 내가 그래서 좀 난해하게 풀고,, 해맸다.문제를 살펴보면 시니어 개발자가 소스코드플랫폼을 옮겼는대 토큰이 노출되었나 보다. 토큰을 찾는 문제다. 고고고해당 압축 파일 열어보면 기본적으로 3개의 파일이 존재한다.(한개는 숨김파일이니 숨김파일 보기 체크할것).git으로 경로 까라가보면.. 위와같이 master라는 파일이 있다.이 파일은 조그만한 지식으로... 알아본 결과 commit할때 변동사항을 저장하는데 저장 내역을 로깅하는 파일이다.그러면 8번정도의 commit이 이루어졌단걸 위의 파일을 보고 알아 차릴 수 있는데..git을 이용해야지! ㅎㅎ 윈도우 git은 위와같이 이.......

[Hackthebox-forensic] Reminiscent [내부링크]

오... 메모리 공부를 했더니 메모리 관련 문제가 있다.ㅋㅋ Hackthebox에서 제일 재밌게 푼 문제다.언넝 풀어보자.대충 요약해보면 희생자의 pc가 이메일을 열람 후 이상행위가 있었고 그 pc를 메모리 덤핑했다는 내용이다. ㅋㅋ참고로 이메일 파일을 제공해줬다. 보면.. 누가봐도 의심스러운 이름의 RESUME.ZIP이라는 파일이 첨부되어있다.해당 파일은 다운로드가 안되며 직접 메모리에서 분석해야 하는거 같다.이제는 좀 짬밥이차서.. bat파일로 위와같이 한번에 뽑을 수 있게 만들었다..ㅋㅋㅋ 명령어를 일일이 치기 귀찮아서.. 필요하신분들은 댓글 go어쩃든 하나하나 보면..아래의 explorer.exe프로세스에서 파워쉘과 선더버드라는 프로세스.......

[Hackthebox-forensic] Took the Byte [내부링크]

누군가 바이트하나를 훔쳐갔단다.. 패스워드를 복구해달라하고.. 풀어보자.첨부된 파일을 열어보면 password란 파일이 있는데..열리지도, hxd로 봐도 특이사항이 없다..이게 뭐야.. ㅠㅠ그래서 어쩔수 없이 포럼을 봤는데 힌트를 얻을 수 있었다!* 가장 많이 보이는 값이 힌트라는 글을 읽었는데.FF가 가장 많이 보였다. 그래서 난 암알못이니... 복호화를 위해해당사이트로 들어가 파일을 업로드하고매직으로 돌려보니~ pk 시그니처가 보이는 것을 알 수있다.해당 부분을 카빙해보면..zip파일로 또 password.txt 파일이 있는 걸 확인 할 수 있다.압축을 해재하면 위와같이 플래그를 준다..(이게 포렌식인가.. 암호지..) 별로 좋은 문제는 아닌거.......

침해사고 발생시 수집해야할 로그 정리해보자-계속 업데이트 예정 [내부링크]

- 가장 배스트는!! 디스크 및 프로세스 덤프/이미징임으로 포함하지 않음* 이메일 어플리케이션 침해사고시 수집해야할 로그- tomcat로그- access.log- catalina.log- error.log- pop3.log(pop3 첨부파일 송수신 로그)- smtp.log(smtp 첨부파일 송수신 로그)- HTTP.log(http 로그)- imap4.log(imap4 송수신 로그)- 어플리케이션 login.log(어플리케이션 로그인로그)* 추가적으로 취약점을 이용했을 수도 있으니 어플리케이션 소스코드도 수집하면 좋다.* 윈도우 침해사고 및 정보유출 발생시 수집해야 되는 아티펙트(최소 기본 수집)- %UserProfile%\AppData\Local\Microsoft\Windows\Explorer (썸네일 아티펙트)- $MFT, $Logfile, $Usrjrnl:.......

[Python] 파일 내용 한번에 읽어서 합치기 [내부링크]

위의 코드는 파일 87개를 한번에 읽어서 합친 후 합친내용을 거꾸로 출력하여 base64로 디코딩하는 소스이다.

[CTF-D] 우리는 의심스러운 네트워크... [내부링크]

힌트가 제공되는 PCAPNG파일이다. 다운받아서 열어보면.. TCP와 HTTP 2개의 통신이 있다.HTTP 통신을 하니 당연이 무언가 보낸흔적이 존재했고 그 흔적은 Object를 통해 리스트를 볼수 있다.모두 추출해보니.. 위와같이 존재했는데.. 뜬근없이 index.php를 줫다는게 이해가 안되서.. HXD로 열어봤다.열어보니 php의 느낌이아닌.. 그냥 GET 해더느낌의 뭔가가 있길래보니.. 도중 PNG 시그니처가 보였고..따로 PNG 부분만 추출하여 카빙후. index.png로 파일명을 바꿔열어보니위와 같이 플래그를 제공해줬다. ㅎㅎ 끝!

[powershell] 파워쉘을 이용한 내 pc지킴이 및 ELK에 로그 전송 [내부링크]

powershell을 통한 내 pc 지킴이는 기본적으로 모두 공개하려고 했으나.. 여러가지 이슈로 인해 이웃에게만 파일 형태로 제공 및 공개하도록 설정하였습니다..ㅜㅜ 죄송합니다.(회사명과 소속을 알려주셔야 공유해드립니다. 불법 공유 방지)* 강제화 가능 설정 기능 * 기본적으로 powershell을 통해 실시간으로 pc상태를 점검하는 기능을 추가하였고, 이 결과를 매일 12시마다 ELK서버로 전송하도록 만들었습니다.또한 위와같이 JAVASCRIPT를 통해서 사용자가 조치 및 점검 결과를 GUI형태로 세부사항을 확인 가능토록 만들었으며 항목은 KISA와 금융보안원에서 제공한 단말보안점검 가이드를 참고하였으며, 자동으로 조치할 수 있도록 만들었습.......

ELK를 활용한 실시간 내 PC지키미 만들어보기(서비스 등록 및 logstash와의 mapping 수정) -2 [내부링크]

이전글 : https://blog.naver.com/pouerccat/221713536261이이전글 : https://blog.naver.com/pouerccat/221803538062이전글 에서는 기본적으로 elk를 설치하는 방법에 대해 알려드렸습니다.이이전글에서는 윈도우 환경에서 파워쉘을 이용해 PC 지킴이를 만들고 결과값을 전송하는 법을 알려드렸습니다.이번에는 ELK 배치파일들을 수동적으로 실행하지 않고 서비스 등록하여 자동으로 실행 할 수 있도록 하는법을 알려드리겠습니다.bat 파일은 sc.exe (윈도우) 유틸리티를 통해 서비스 등록을 할 수 있는 것으로 알고 있으나...현재 ms에서 오류가 있어 등록이 불가능 했습니다. 그래서 저는 nssm이라는 유틸리티를 이용해 서비스 등록하였.......

[안드로이드 해킹] 루팅 및 앱을 이용한 원격 안드로이드 탈취 (동영상 및 상세기술분석 보고서 첨부) [내부링크]

이 프로젝트는 내가 kitri-모의해킹 과정을 등록하여 다닐때 4주정도 진행한 프로젝트이다. 벌써 4년전 이야기... 끅..ㅜㅜ 진짜 열정이 넘칠 때였지..처음 진행한 해킹프로젝트이자(개발프로젝트 말구..),열심히 진행을 해서 정이 갔던 프로젝트라 더 잊어먹기 전에 블로그에 포스팅 해본다.(어떻게 했지.. 난 대단한 놈이었구나.?)* 모든 프로젝트의 저작권은 저에게 있으니, 불법 유표를 금합니다.* 이 해킹은 정말 악의적이므로 교육목적 외 불법적으로 따라하다가 법적 처벌은 본인에게 있음을 공지합니다.기본적인 시나리오는 아래와 같다.1. 아파치 서버를 올려놓고 악성 captive portal용 웹 페이지를 구축한다.2. 공유기는 캡티브.......

[PICO CTF 2019] Glory of the Garden [내부링크]

50점 짜리는.. 뭐 문제 볼필요도 없지. 바로 다운로드 고고고 하면..위와 같이 정원 사진이 보인다.(FF D9) jpg의 시그니처 후 바로 플래그가 보인다. 역시 50점짜리 ㅎㅎ

[PICO CTF 2019] Unzip [내부링크]

이 문제 역시 50점짜리.. 근대 풀고나니 너무쉬워서 writeup을 쓸가말가 고민했다.그냥 압축을 상용프로그램으로 풀면위와같이 플래그를 제공한다...ㅋㅋㅋ 이건..좀

[PICO CTF 2019] So Meta [내부링크]

자 이제부터 150점짜리 문제다. 슬슬 풀만한 가치가 있는 문제들을 제공해주는데..파일을 다운받아서 열어보면 위와같이 이미지를 제공해준다.그냥 메타데이터로 자세히 보기하면 플래그가 있길래..ㅋㅋ exiftool을 이용해서 플래그를 추출했다.

[PICO CTF 2019] What Lies Within [내부링크]

이거 또한 150점 짜리 문제다. 다운로드 받으면..그냥 아무것도 없는 건물사진이다..메타데이터도 없고... 그냥 힌트에는 마지막 비트에 뭐가 있다는 정보만 제공해줘서 감으로 strings 혹은 zsteg로 보면 되겠구나..?해서 열어보니 역시 zsteg에서 플래그를 제공해준다.

[PICO CTF 2019] extensions [내부링크]

제일 어이없는 문제다. 150점짜리인데..ㅋㅋㅋ그냥 파일 받아서 열면 플래그 준다.. 문제가 잘못된듯??

[PICO CTF 2019] shark on wire 1 [내부링크]

오 네트워크 포렌식 문제이다. ㅋㅋ 이거 재밌겠는데?일단 다운 고고고받아서 열어보면 누가봐도 의심스럽게 udp에다가 데이터를 보내주는 걸 확인할 수 있다....udp 스트림을 이용해서 쉽게 플래그 획득! ㅎㅎ 끝

[PICO CTF 2019] WhitePages [내부링크]

흠.. 상당히 어려워보인다 250점 짜리 문제이니.. 다운을 받아보면그냥 아무것도 없는 빈 택스트 파일이다... 뭐야..?그런데 HxD로 열어보면 위와같이 공백문재열이 다르게 설정되어있는걸 알 수 있다.대표적으로 E28083의 공백과 20의 공백이 번갈아 가면서 나오는데.. 그럼 0과 1로 이루어진 이진순가 싶어서.. Python으로 코드를 짜봤다.위를 돌리면 E28083는 0으로 치환 20은 1로 치환해서 이진수로 보여주는데 이 값을 복호화하기위해..온라인 디코더를 사용했다. ㅎㅎ 역시..아래로 쭉내려보면 플래그를 제공해준다.! 끝

[Python] byte로 읽어서 치환하기 [내부링크]

끝! 쉽쥬?

Sans Network Forensic [Puzzle 2] #1~6 writeup [내부링크]

여기 사이트의 문제는 참 좋게 만든것 같다.ㅎ이번에도 간단하게 문재 정리.1. ann의 이메일 주소는?2. 이메일 비밀번호는?3. 애인의 이메일 주소는?4. 애인에가 가져오라고 시킨 2가지 물건은?5. 첨부파일의 이름은?6. 첨부파일의 md5 해쉬 값7. 만나기로 한 장소는?파일을 열어보면 역시 평범한 캡쳐 파일같은데..조금만 내려보니.. smtp 이메일 통신을 했음을 확인 할 수 있다.해당 스트림을 follow해보면.. 위와같이 나오는데. 뭔가 인증과 관련된 것을 base64로 주고 받는 것을 알수 있다.해당부분 복사해서. 간단하게 노트패드를 이용해 복호화해보니. id와 비밀번호가 들어난다 ㅋㅋㅋ ㅎㅎ모든 메일을 follow하면 좋지만 귀찮으니 도구.......

Ali Hadi Case1 -Web Server Case write up(웹 해킹 분석) [내부링크]

메모리,디스크포렌식 문제들을 풀어보고 싶어서 돌아다니던 도중 재미있는 사이트를 발견하였다!문제주소 : https://www.ashemery.com/dfir.html5개의 문제가 존재했는데 5개 다 성의껏 재밌게 시나리오를 그려 만든문제인것 같아 풀어보기로 마음먹었다. ㅎ거두 절미하고 문제를 보자..ㅎ흠.. 회사의 웹서버에서 뭔가 행위를 당했는데. 메모리와 디스크 이미지를 가지고 알아보라는 문제다. 간략하게 정리하면 .1. 공격자가 어떤 행위를 수행했는가?2. 공격자가 사용자 계정을 몇개 추가했는가?3. 공격자가 남긴 흔적이 무엇인가?4. 어떤 소프트웨어가 설치되었나, 그리고 공격자가 설치한건가?5. 메모리포렌식을 통해 어떤 쉘코드가 사용되었는.......

[CTF-D] 경찰청은 최근 아동 성폭력... [내부링크]

기소하였는데. 증거를 찾아 달란다.. 파일명을 보니 2013코드게이트 문제였던듯..? 한번풀어보자해당 파일 다운 받아서 열어보면 레지스트리관련 아티펙트는 제거되어있는 상태.. ㅠㅠ 그래서 꿩 대신 닭 어떤 유저가 있는지 확인해 봤다.가장 눈에 띄는건 Codegate로 되어있는 유저였는데..Codegate유저의 Ntuser.dat 아티펙트는 살아 있어 분석을 위해 열어보았는데..위와같이 LNK나 레지스트리 실행목록에서 특이 점을 발견할 수 없었다.. (의도적으로 삭제한건가..?)좌절...ㅜㅜ 그래서 더뭐가없나 확인하는중..Administrator 계정은 보지 않아서 들어갔는데..의도적으로 NTUSER.DAT을 지운 흔적과 LNK 및 각종 아티펙트를 지운 흔적이 존재.......

[Otter ctf] USB Or Not To Be [내부링크]

Morty 가 사고로 파일을 포탈건으로? 삭제했단다.. 뭔소리야..ㅎㅎ 일단 다운받아서 확인해보자해당 파일 다운받아서 ftk imager로 열라고하니.. 열리지가 않는다. 엥? img파일아닌가..?하고 확인해보니..fat32의 MBR 시그니처다.. 맞는데..?뭐가 잘못된건가 싶어서...Sleuthkit으로 확인해보니..똑같이 이미지의 섹터는 확인가능한대..근대 mmls로 파티션이 잡히지 않는다.. 왜지..? 모르겠다..ㅜ그래서 fsstat으로 확인해보면. 정상적으로 파일시스템 구조가 보인다.. 근대 fat 컨탠츠는 왜안보이는걸까..?아시는분이 있으면.. 답변좀.. 일단 FLS로 해당 이미지 파일 확인해보니 지운파일들이 6개 가 존재한다.혹시나 더있을지 모르니..위와같.......

[Otter ctf] Otter Leak - Write up [내부링크]

Otters(수달)이 정보유출을 하는것을 발견했다..유출된 데이터를 찾아봐라라는 문제다.열어서 보면.. SSH로 통신한 흔적들이 존재한다.SSH통신 버전도 높고.. 내가 멍청한건지.. 어떻게해야할지 감이 안잡혔다.ㅜㅜ그래서 Conversation을 확인해보니 443,139,445와 같은 포트로 통신한 흔적도 발견할 수 있었다.443(HTTPS)는 특별하게 볼게 없었다.그래서 139,445를 확인해보니..내려가보니 SMB로 많은 통신을 한흔적을 발견할 수 있었는데.. 특이하게..Data를 1byte를 계속 요청하여 받은것을 알 수 있다..그리고 follow해보면 위와같이 많은 jpg를 요청하고 있으니.. 추출해서 봐야될거 같았다.다 추출해도 되는데 귀찮으니.. Network Miner Go.......

Sans Network Forensic [Puzzle 3] #1~8 writeup [내부링크]

1~8번까지 연결되어있는 문제이다.주어진 시나리오를 확인해보면AppleTV의 IP주소는 192.168.1.10인것으로 알 수 있다.가장먼저 Pcap파일을 wireshark로 열어봤다.별다른 문제없이 위에서 제공된 IP를 통해 MAC주소를 얻을 수 있었다.플래그 제출.다음. 2번이다. HTTP에서 어떠한 User-Agent를 사용했는가?간단하게 follow http stream을 이용하여서 위와같이 뽑았다.뽑은 자료곳에서 user-agent를 플래그 제출하면 끝3번은 독특했다. 검색 내용 4개를 찾으란다..흠.. 가장먼저 http프로토콜로 정리를 해서 요청 url 별로살펴보니 위와같이 의심스러운 c2라는 파라미터로 뭔가를 요청하는 것을 알 수 있다.파라미터별로 쭉 뽑아내도 되지만 tshar.......

Sans Network Forensic [Puzzle 4] #1~6 writeup [내부링크]

X라는 인물이 연구시설을 공격하였고, 어떤식으로 공격했는지 캡쳐파일을 통해 알아내면 된다.흠..1번이라.. 열자마자 너무 쉬웠다.. 한IP에서 포트스캐닝을 시도한 것이 확인이 되어 해당 IP를 플래그 제출하였다.어떤 포트스캐닝을 시도하였는가? 라는 문제다. 위의 공격중 XMAS같은 스탤스 스캔은 아닌것으로 알 수 있는데.. 좀 일단 답부터 말하자면..위와같이 TCP Connect 스캔을 시도한것을 알 수 있다. 그 이유는 3way hackshacking을 할때 열린 패킷으로 응답이 왔을때 RST +ACK를 같이 첨부하여 송부하는 것을 보면 알 수 있다.초보자가 스캔을 한 것 같은데..? 저렇게 로그를 많이 남기다니.ㅎㅎ다음은 목표로하는 IP이다.와이어 샤크.......

Sans Network Forensic [Puzzle 1] #1~6 writeup [내부링크]

위에 가 문제이다. CTF-D에서 문제를 풀어보다가 상당히 좋은 문제들이 있는것 같아서 따로 찾아가 풀기로 해서, 문제를 구했다. * 간단하게 정리1. ANN'S 친구이름은?2. 첫번쨰 대화 내용은?3. ANN이 준 파일 이름은?4. 해당 파일 Magic number는?5. 해당 파일 md5 값은?6. 비밀 레시피는 뭐냐?문제 주소 : http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim일단 해당 문제파일을 다운받아보면.,흠.. 패킷의 양이 많진 않은대 난잡하게 캡쳐가 되있음을 알 수 있다.보기 귀찮아서.. 따른 도구를 활용해서 보니. 이메일 프로토콜을 활용해서 각 프레임별로 대화를 나눴음을 확인할 수 있다.해당 프래임 번호 따라가보면 SSL 통.......

[CTF-D] flagception [내부링크]

문제를 보자마자 깃발에 뭔가 있다는 것을 알 수 있다. ㅎ깃발을 중심으로 살펴보자.사진을 열어보면 평범한 깃발이 존재한다.스테고솔브로 여리저리 돌려봤는데.. 깃발에서 이상한게 보인다.확대해서 보면... 뭔가 흰검흰검 반복.. 흠..여기서 막혔었는데 조언을 얻어서.. 흰색이 0 검은색이 1이라는 것을 알아냈다.이진법인데 문자열로 표현할려면 8비트가 필요하니까.. 앞에 흰색도 포함해야 겠다.그냥 풀면 재미없으니 파이선으로 풀어보자.위와같이 입력하고 돌리면 이쁘게 플래그가 출력이된다.끝

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-17 [내부링크]

새로운 PC의 메모리 덤프 파일을 제공한다. 이전의 PC에서 측면 이동을 통해서 이피시로 들어 왔던 것을 확인했었지.. ㅎㅎ 여기서도 무슨 행위를 했는지 분석해보자!* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt .......

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-18/19 [내부링크]

흠.. 파일을 암호화 했댄다. 그렇다면 망간이동을 하였고 어떤 도구로 암호를 했을까..? 보면 되겠지.근데 아까 추출해놓은 cmdscan에서 무언가를 본것 같았는데..?* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # .......

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-20 [내부링크]

이전과 동일한 패턴이 반복되는 줄알고.. 쉽네.. 라고 생각했는데,...? 일단 풀어보자.* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # ‘pslist’와 ‘psscan’를 비교 은닉된 프로세스를 찾을 수 있음.volatlity .......

Suninatas_Forensic-29번 문제 [내부링크]

거두절미하고 문제를 풀어보자.대충 요약해보자면 키로거가 있고 키로거의 위치와 어떠한 곳에서 피싱을 당했냐는 내용이다.파일을 다운받으면 위와같이 빈파일로 3.0GB 정도의 파일을 제공받는다.패당 파일 바이너리로 열어보면... egg 시그니처를 가지고 있다. 이름을 .egg 파일로 바꾸면..위와같이 vmware로 운영체제를 제공해준다.^^자 이제 vmdk를 이용하여서 분석 진행해보자.가장먼저 피싱을 당했다고 하니 생각나는건 host파일이었다.가장 기초적인 피싱방법이기도 하고.. 혹시나 해서 들어가 봤더니... 빙고,,!위와같이 host 파일에 주석으로 키를 제공해준다.^^;* host 파일 경로 : C:\Windows\System32\drivers\etc 만약 여기서 안.......

Suninatas_Forensic-29번 문제 [내부링크]

거두절미 메모리 덤프를 제공.. 당연하게 풀어야겠찌..* 자주 사용하는 명령어 set:volatlity -f [파일명] imageinfo > imageinfo.txtvolatlity -f [파일명] --profile=[운영체제명] pstree> pstree.txtvolatlity -f [파일명] --profile=[운영체제명] hashdump > hashdump.txtvolatlity -f [파일명] --profile=[운영체제명] pslist> pslist.txtvolatlity -f [파일명] --profile=[운영체제명] psscan > psscan.txtvolatlity -f [파일명] --profile=[운영체제명] psxview > psxview .txt # ‘pslist’와 ‘psscan’를 비교 은닉된 프로세스를 찾을 수 있음.volatlity -f [파일명] --profile=[운영.......

[CTF-D] lol team이라는 의심스러운 팀이 있습니다. [내부링크]

문제를 보자마자..ㅎㅎ 리그오브레전드가 떠오른건 .. 아직 게임에 헤어나오질못해서 그런거겠징..스니핑을 했다고 한다. 한번 받아보자와이어 샤크로 열어보면 아주 간단하게. follow HTTP 스트림으로 잡아낼수 있다.비밀번호를 암호화하여 보내지 않다니 아주 평범하군. 근대 보면 URL 인코딩이 되어있으니.위와같이 복호화 하여서 플래그로 제출하자.

[CTF-D] 당신은 캡처 파일에서 플래그를 찾을수 있는가? [내부링크]

별다른 힌트는 없지만 파일명이 easy인거보니.. easy 하겠지..?ㅎㅎ파일을 열어보면. 그냥 보자마자. 한 아이피와의 통신 밖에 하지 않는다는 것을 알았고, 뭔가 데이터를 밀어 주고 있는걸 알수 있다.따로 밀어넣는 부분만을 보니까..흠.. 뭘까..? 하고 보니 DATA를 1BYTE로 설정하여서 나누어서 뭔가를 보내준다.FOLLOW TCP 스트림해보니.. 위와같이 플래그를 제공.. 제출 끝!

[CTF-D] 이벤트 예약 웹사이트를 운영하고... [내부링크]

3개의 문제가 동시에 연결되어있다. 첨부되어있는 파일을 받아보면.. 여러개의 파일이 있는데 증거수집 도구를 이용해서 파일을 얻은 것 같다.확인해 보자.가장 먼저 확인한 것은 프로세스 정보다.ps_eaf 파일의 87번째 줄을 확인해보면.. * sh -c php -f /var/www/upload/editor/image/reverse.php* php -f /var/www/upload/editor/image/reverse.php* sh -c /bin/sh -i <&3 >&3 2>&3위와같이 3개의 프로세스가 동작하는 것을 알 수있다.sh 명령어를 통해 reverse.php를 실행했는데.. 어떻게 실행을 했을까? 메모해놓고 더확인해 보자.access.log로 reverse를 검색했더니... 나오는게 없었다...뭐야..그런데 accesslog를 자.......

[CTF-D] FIND KEY(Butterfly) [내부링크]

나비를 찾으랜다.. 흠 png 파일을 다운받자.png 파일을 다운받아서 열어보면 그냥 정상적인 파일이다.파일 ...

정규식을 활용한 Accesslog 추출/분석(Powershell) [내부링크]

회사에 있을때 가끔식 방대한 용량의 Access log와 수많은 파일들을 분석해서 결과를 뽑아 내야 할 일이 ...

[CTF-D] fore1-hit-the-core [내부링크]

자 뭐 힌트도없는것 같고 그냥 fore1.core를 다운받아서 풀어보자..!core파일이 뭔지 몰라서.. 일단 그냥 ...

[CTF-D] 파일에서 플래그를 찾아라 [내부링크]

200점 짜리 문제... 한번 풀어보자.첨부된 파일을 받으면 12KB짜리 파일이 있다.hxd로 열어보면.. 위와같...

[OTTER-CTF] 2018 메모리 포렌식-Name Game1&2 - 4 [내부링크]

이 문제는.. 노가다로 strings를 통해 확인해보다가.. 뭔가 좀 아닌 거 같아서..좋은 writeup이 있어서 가...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-1 [내부링크]

문제는 한개의 vmss 덤프를 제공한다. 기본적으로 메모리 덤프파일을 받으면 나는 volatililty를 이용해 아...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-2 [내부링크]

이어서 2번문제는 이메일에 첨부된 파일의 이름이 무엇이냐고 물어본다.자주 사용하는 명령어 set:volatl...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-14 [내부링크]

흠.. 아까 멀웨어가 뭔지 다 찾았으니.. 쉽겠네..ㅎㅎ 바로보자..!* 자주 사용하는 명령어 set:volatlity...

N00b CTF 1번 - welcome forensic world [내부링크]

오랜만에 직장생활중 놓았던 해킹 공부와 포렌식 공부를 하고 싶어서 남는 시간에 ctf를 풀어보고 풀이를 ...

N00bCTF 2번 - image restore [내부링크]

이제 CTF Multimedia 포렌식 2번문제를 풀어보자. 개인적인 일정으로 뜸뜸이 풀었는데 나름 성공적으로...

N00bCTF 5번 - find my thumbs [내부링크]

오늘도 .. CTF 풀어보자.. ㅎㅎ문제는 아래 링크에.CTF Site : http://52.79.224.215지문.. 지문...

powershell USB/이동식디스크/BitLoker 관리(Serial Key,설명, 드라이브) [내부링크]

임직원들이 공인인증서로 사용하는 USB를 분실/파기를 대비하여서 분기점검을 진행한다.지점마다.. 일일...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-9 [내부링크]

어느 CTF나 가장 잘 나오는 단골문제.. ㅎㅎ 간단하게 풀어보자.자주 사용하는 명령어 set:volatlity -f...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-12 [내부링크]

타임라인이 그림을 만들지.. 그래서 10번도 풀수 있었고.ㅎㅎ자 이제 더 풀어보자.* 자주 사용하는 명령...

[CTF-D]제 친구의 개가 바다에서... [내부링크]

멀티미디어 포렌식 문제이다.. 어쩌다가 개가 빠졌을까?hidden.jpg를 다운받자.다운받은 파일을 열어보면 ...

[CTF-D] 제 드라이브에 catz사진이 몇 장 있습니다! [내부링크]

사진이 있는데 포렌식을 피하기 위해서 몇가지 조치를 취해 놨다고 한다.catz.img를 다운받아 보면 디스크 ...

[CTF-D] X 회사의 재정 정보를 훔치기... [내부링크]

흠. 요약하자면 악의적인 임직원이 CTF PC에 악성코드를 통해서 PC에 접속을 하였고.. 그중에 훔쳐...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-13 [내부링크]

오.. 공격자가 nbtscan.exe를 이용해서 무언가를 했고 그결과를 txt형태로 저장했댄다..ㅎㅎ분석을 해야겠...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-15 [내부링크]

타임라인이랑 프로세스를 뽑아놓으니까 어쩨 뒤로갈수록 문제풀기가 더 쉬워지는 것 같다. ㅎㅎ * 자주 ...

N00bCTF 4번 - What is docx? [내부링크]

맨날 정책업무만 주구장창.. 보안솔루션 운영만 주구장창하니까.. 해킹이 그립다.. 그리우면 시간내서 해야...

[CTF-D] 저는 플래그를 이 파일에.. [내부링크]

멀티미디어 포렌식 가장쉬운 100점짜리 다운받고 빨리풀자.이미지 파일을 열면 반으로 쪼개져있는 그림이 ...

[CTF-D] 우리는 이 파일에 플래그를.. [내부링크]

100점짜리 문제다. CTF-D는 문제가 많아서 재밌다.첨부됨 FLAG를 다운받으면 확장자가없는 그냥파...

[CTF-D]FIND KEY(moon) [내부링크]

100점짜리 달을 찾는문제이다..ㅎㅎ역시 사진은 아무것도 없는 그냥 이미지처럼보인다.해더 시그니처를 확...

[CTF-D] 우리의 제일 귀여운.. [내부링크]

귀여운 스테고 사우르스를 찾아보랜다.근대 stego니까..? 스테가노그래피로 무언가를 숨겨 놨을거 같다.wir...

[CTF-D] 사진 속에서 빨간색이.. [내부링크]

100점 짜리 문제다. 빨간색이 이상하다고 하는 힌트를 보자마자 lsb steganography가 떠올랐다.역시 사진을...

[CTF-D] 판교 테크노벨리 K기업에서... [내부링크]

판교 테크노벨리 기업에서 기밀유출 사건이 발생했단다. 한번 찾아보자.! 문제를 보니 브라우저 관련 아티...

[CTF-D] 조개를 찾아 열고, 진주를 찾으십시오. [내부링크]

흠.. OUT.img 파일을 제공한다. 딱히 뭐 제목에서 힌트같아 보이는 글은 모르겠다..파일타입은 다음과 ...

[OTTER-CTF] 2018 메모리 포렌식- General Info -2 [내부링크]

앞에 것과 이어서.. PC의 이름과 ip주소가 뭐냐고 물어봤다. 이건 좀 쉬울거 같은데...?앞에서 얻은 운영...

N00bCTF 6번 - Please open steganography [내부링크]

6번.. 이때까지 푼 문제중 가장 시간이 오래걸린 문제인것 같다...ㅜㅜ다들 CTF잘하시는분들은 어떻게 ...

[CTF-D] 내 친구는 이것이 특별한.. [내부링크]

역시 100점짜리 문제이다. 쉬운것 같아보이니 다운 ㄱㄱ역시 평범한 이미지이다. 뭘까.?헤더시그니처 확인....

[OTTER-CTF] 2018 메모리 포렌식-playTime-3 [내부링크]

문제를 보면 Rick은 오래된 게임을 좋아한댄다. 무슨 게임을하고 IP주소를 확인해보랜다.일단 프로세스 ...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-4 [내부링크]

프로세스 PID를 구하랜다.. 그렇다면.. 무슨프로세스부터 동작하고 있는지 확인해봐야지..?* 자주 사...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-10 [내부링크]

공격자가 도구를 손상시키기위해 3개의 exe파일을 옮겼다고 한다. ^^; 찾아보자~* 자주 사용하는 명령어 ...

N00bCTF 3번 - Dark Web [내부링크]

이제 CTF Multimedia 포렌식 3번문제를 풀어보자. 이름이 ... Dark Web..? 뭔가 무서운 바이러스나 ...

[CTF-D] Basics [내부링크]

파일이름이 steg.png이다.. 스태가노 그래피 문제인것을 직감.파일을 열어보니 역시 뭔가 있진않다.. lsb스...

[CTF-D] 데이터센터 중 하나가 정보의... [내부링크]

IDC에서 뭔가 정보를 숨긴댄다.. 뭘가.. 일단은 압축파일을 다운받아 보자.다운 받은 압축 파일을 해제 ...

[OTTER-CTF] 2018 메모리 포렌식-What-the-password? [내부링크]

뭔가 메모리 포렌식 공부를 하고 싶어서.. 지난 CTF 리스트를 찾던중 OTTERCTF라는게 있어서 문...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-5 [내부링크]

레지스트리를 찾으라는게 문제다. 정보보안기사 옛날 단골문제로 자동실행 관련 레지스트리는 기본적으로 ...

(해킹)HacktheBox-WALL Writeup [내부링크]

* 해킹은 교육으로만 사용해야하며 본 목적과 다르게 사용할 시 작성자는 법적 책임이 없음을 밝힙니다. ...

[CTF-D] 계속 주시해라! [내부링크]

100점짜리. 문제 언넝 다운받아보자.다운받은 파일을 보니 해킹당했다며 협박을한다..ㅠ푸터시그니처 뒤에 ...

ELK를 활용한 실시간 내 PC지키미 만들어보기(windows) -1 [내부링크]

리눅스로 ELK 구축하는거야.. 쉽고 이번에는 윈도우 전용 ELK서버를 구축하여서 내 PC지킴이를 만...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-11 [내부링크]

이번에도, 관리자 로컬 비밀번호를 물어본다..근데 이번에는 해쉬값이 아니라 평문? mimikatz로 봐야 되나 ...

[CTF]Grrcon 2015 디지털포렌식(메모리포렌식)-16 [내부링크]

흠.. 아까 뭔가 3389 및 팀뷰어, 22번 등 많이 뽑아 놨던게 기억이 났다.* 자주 사용하는 명령어 set:vol...

케이쉴드 6주차 실습환경 정리해본것.part 1(문자메시지 분석 안드로이드) [내부링크]

요런 문제가 있다. 흠.. 로비를 했다라..1. 위에 보면 문자로 연락을 주고받았다고 되어있다.2. 핸드폰으로 약속장소를 검색했다고 되어있다.이 두가지만 있으면 뭐 문제푸는댄 지장이 없을 것 같다고 생각했다.실습환경으로 윈도우 가상머신을 제공 받았다. 해당 경로로 가면 .MDF파일의 삼성 핸드폰의 이미지 백업본이 있다.Sleuthkit을 이용하여 파일을 분석하고자 한다. 가장 기본이 되는 디렉토리를 보면 위와 같이 나온다.우리는 위에서 문자메시지와 검색기록을 확인해야 하니까..! data디렉토리로 가야겠다.데이터 directory 값인 196609를 기억하자..196609를 추가로 입력하여서 보면 많은 페키지가 존재한다.. (대략 몇백개..)이걸 언.......

케이쉴드 6주차 실습환경 정리해본것.part 2(검색 기록 분석) [내부링크]

이전과 이어서.. 이전글.https://blog.naver.com/pouerccat/221704246048흠.. 문자 메시지에는 확실히 만나기로 하고 갔지만 진짜로 만나로 갔는지.. 그런 부분에 약간 부족함이 있지 않나 싶었다.. 힌트에는 핸드폰으로 약속장소를 검색하였다는 말이 있으니. 한번더 분석해보자.패키지를 확인해야 하니.. data로 들어가보자. 모르시는 분들은 이전글을 꼭 보고와주세요..그냥 보면 너무 많으니... 정규식 사용해야죠.com.android.providers.userdctionary 의 databses/user_dict.db - 여기에는 사용자가 타이핑한 단어들에 대한 정보를 확인할 수 있음..만약 google계정과 동기화가 되어있다면 여러대의 device가 통합되어 타이핑 단어들을 보.......

케이쉴드 6주차 기업파일정보유출 분석 case 풀이 [내부링크]

문제는 이렇다.. .참나쁜놈이네..ㅎㅎ;;; 근대 조건이 끌리긴할듯..ㅎㅎ 풀어보자.일단 분석환경으로 windows 를 제공하였다. live에서 분석하기에 파일을 건들수 있으므로 이미징을 하면 좋겠지만 그런 환경이 안되니...ㅜㅜ 대충 디스크만 열게 시켜놓자일단 브라우져 방문기록을 봣따. 뭔가 바탕화면에 이렇게 많이 열어봣냐....* file://로 되어있는건 브라우저를 통해 파일을 열어봣기에 저렇게 기록에 남는다.REGA를 이용해 레지스트리도 분석해보자.. LIVE라 따로 추출안해도 되니 넘나 편하네.( LIVE가아니면 레지스트리와 하이브 추출하면 된다.!)음많은 장비들이 마운트 되어있었군..그중 USB로 보이는게 크게 2가지 확인이 되었다. 11.......