Cha4SEr Security Study

문제 링크 : http://ctf-d.com/challenges [DigitalForensic] with CTF ctf-d.com 시나리오 : 이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오. 문제 : #A : 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? Key format: (yyyy-MM-dd_hh:mm:ss) #B : 리버스쉘(Reverse Shell)을 동작시키는 프..

레나 튜토리얼 실습파일을 3번을 풀어봅시다. 이번시간의 핵심은 PE 구조에 대한 기초적인 이해와 nag 제거 입니다. 우선 PE 구조를 분석할때 기본적으로 많이 쓰이는 것은 PEview 라는 툴 입니다. PEview는 인터넷 검색을 통해 쉽게 찾을 수 있습니다. https://www.aldeid.com/wiki/PEView PEView - aldeid DRAFT This page is still a draft. Thank you for your understanding. Description INCOMPLETE SECTION OR ARTICLE This section/article is being written and is therefore not complete. Thank you for your co..

레나 튜토리얼 실습파일을 2번을 풀어봅시다. 2번 폴더에 들어가면 reverseMe.exe 파일이 있는데 파일 자체는 1번이랑 똑같습니다. 그리고 클릭해보면 You really did it Contratz 라는 메세지가 뜹니다. 일단 폴더에 있는 Keyfile이 이미 있는데 이 파일을 만드는게 2번의 목적이니 실습을 위해 지워줍시다. 지우고 다시 파일을 열어보니 1번문제와 유사한 메세지가 떴습니다. 일단 올리디버거로 한번 열어봅시당 역시 같은 파일이라 익숙한 화면이 나오네요. 복습을 위해 F8을 눌러서 진행을 한번 해봅시다. CreateFileA까지 왔습니다. 이 함수는 Keyfile.dat 파일을 불러오는데 파일이 없기 때문에 오류가 났었죠. 이제 파일을 만들러 가봅시다. 우선 실습파일이 있는 폴더에 ..

실습준비가 끝났으면 1번부터 문제를 풀어봅시다. 우선 1번문제 files 폴더에 reverseME.exe 파일을 올리디버거로 끌어서 실행시킵니다. (Options - Add to Explorer 에서 Add Ollydbg to menu~~ 를 클릭해두시면 reverseMe 파일을 우클릭 하여 Open with Ollydbg 클릭해서 바로 올리디버거로 띄울 수 있습니다. ) 그럼 이제 올리디버거 첫 화면부터 알아봅시다. 먼저 가장 왼쪽에 나와있는 부분이 가상메모리 주소를 나타내는 부분입니다. 프로그램은 실행이 되는순간 프로세스가 되는데, 이는 가상메모리에 프로그램 파일이 올라간다라고 할 수 있습니다. 여기서 가상메모리란 운영체제가 물리메모리를 효율적으로 사용하기 위한 시스템입니다. 우리가 흔히 말하는 메모..

리버싱 입문을 위한 Lena Tutorial 입니다. 유튜브에 보안프로젝트 재즐보프님이 강의를 올려주신 것을 활용하여 함께 공부할 겸 정리해보려고 합니다! 총 40번까지의 문제와 강의가 있지만, 11번부터는 유료로 진행되기 때문에 1~10번 까지만 올릴 예정입니다. 10번까지는 디버거 사용법 및 적응기간이라 할 수 있고 이후에는 안티디버깅과 패커 프로텍터와 우회기법 등 심화적인 내용을 다룹니다. 10번까지만 해도 리버싱을 처음 접하는 입장에서 굉장히 유익하다고 생각하고, 더 깊게 공부하실 분은 인프런에서 결제 후 영상 보시는 것을 추천드립니다! ============================================================================ 실습은 버츄얼박스로 MS..

ID : level8 PW : break the world level9의 shadow 파일이 숨겨져 있고 용량이 2700 이라는 힌트가 주어져있따. level1에서 사용했던 find 명령을 활용하여 검색해보자! 파일 사이즈를 이용해 검색할때는 사이즈의 단위를 설정할 수 있다. - b : 블록 단위 - c : 바이트 단위 - k : 키로바이트 단위 - w : 2바이트 워드 - m : 메가바이트 - g : 기가바이트 블록 단위로 검색했을 때는 아무 결과가 나오지 않았고, 바이트 단위로 검색했을때 found.txt 라는 녀석이 뭔가 심상치 않아 보인다! 자세히 들여다 보자 level8의 권한으로 읽기가 가능하고 용량이 2700바이트인 파일이다. cat 명령어를 통해 내용을 보자! 쉐도우파일 같은 내용이 나왔따..

ID : level7 PW : come together 늘 그렇듯 힌트파일을 열어보니 힌트를 무려 4개나 준다! 일단 힌트를 분석해보기 전에 /bin/level7 명령부터 실행해보자 실행해보니 패스워드를 입력받도록 하였고 밑에 오류를 보니 wrong.txt. 파일이 없다고 뜬다. 여기서 문제가.. 원래 wrong.txt파일이 있어야 하는데 FTZ 서버를 로컬로 구축하면 이 파일이 없다고 뜬다고 한다. 원래의 wrong.txt 파일 내용은 아래와 같다고 한다. --_--_- --____- ---_-__ --__-_- 모스부호 같이 생긴게 나온다. 자세히 보면 7번째마다 공백이 있고 총 28개로 이루어 진 것을 알 수 있따. 여기서 힌트의 내용을 보면 2진수를 10진수로 바꾸라는 내용이 있는데 모스부호를 1..

ID : level6 PW : what the hell level6는 키자마자 인포샵 bbs의 텔넷 접속메뉴에서 많이 사용되던 해킹 방법이라는 힌트가 주어진다. 엔터키를 누르니 메뉴가 뜬다. 셋중 아무거나 클릭해서 보니 Trying ~~.... 이라고만 뜨고 아무것도 되는게 없따.. 여기서 위의 힌트를 보면 bbs에서 많이 쓰던 해킹방법! 은 바로 작업을 중지하는 Ctrl + C 라고 한다. 한번 입력해보자! 잉 메뉴 입력 화면에서 ctrl + c를 하니 Can't use ctrl+c 라는 문구가 뜨면서 안된다 ㅠ 그렇다면 서비스에 접속하기 전에 시작화면에서 한번 눌러보자! 역시 해결되었다! 이제 다른 힌트파일이 있는지 확인해보자 늘 있던 hint 라는 파일과 보이지 않던 password라는 파일이 있다..