| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- 디스크 포렌식
- 해커팩토리 8번
- SANS
- 파일 다운로드 취약점
- Burp Suite
- 보안
- 로그 분석
- Burp Suite Intruder
- ftz
- 리버싱
- 해커팩토리
- 포렌식
- 부트스트랩
- 웹해킹 실습
- 테이블명 수집
- CTF-d
- 게시판 만들기
- 해커 팩토리
- 해커팩토리 10번
- python flask
- 웹 해킹
- 레나 튜토리얼
- 해커 팩토리 6번
- Blind Sql Injection
- 네트워크 포렌식
- 해커팩토리 7번
- 시스템 해킹
- union sql injection
- 리버싱 기초
- SQL Injection
- Today
- Total
Cha4SEr Security Study
[CTF-D_Disk] 판교 테크노밸리 K기업에서… #1,2 본문
문제 링크 : http://ctf-d.com/challenges
[DigitalForensic] with CTF
ctf-d.com
시나리오 :판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오.
문제 :
#1 : 용의자가 가장 많이 접근했던 사이트의 URL은?
KEY Format : URL(http://aaa.bbb.cccc/)
#2 : 해당 URL에 마지막으로 접근한 시간은?
KEY Format : yyyy-MM-dd_hh:mm:ss
사용 툴 : IE10Analyzer.exe
============================================================================
#1 : 용의자가 가장 많이 접근했던 사이트의 URL은?
KEY Format : URL(http://aaa.bbb.cccc/)
문제 파일에는 각 사용자별로 디스크에 남아있는 폴더와 파일이 존재합니다. 다른 User들은 Default나 Public으로 구성되어 있고, 의심해볼만한 사용자는 7ester로 보입니다. 해당 폴더에 들어가봅시다.
7ester의 프로필 폴더가 나옵니다. 주어진 문제는 용의자가 접근했던 사이트의 정보를 추출하는 것이기에 웹 브라우저를 통해 접속했던 기록들을 살펴보면 될 것 같습니다.
인터넷 익스플로러 기준 웹 브라우저에 남는 로그 파일 및 경로는 다음과 같습니다.
기본적으로 위에 나와있는 폴더에서 정보를 얻을 수 있지만 실제로 들어가보니 분석할 파일이 마땅하지 않은 것 같습니다 ㅜㅜ
그래서 같은 경로에 있는 폴더를 몇개 찾아 보다가 WebCache라는 폴더를 발견했습니다!
해당 폴더에서 분석해볼만한 WebCacheV24.dat 파일을 발견했습니다. 이제 이 파일을 분석해볼건데
사용 툴은 IE10Analyzer.exe 라는 툴입니다.
http://moaistory.blogspot.com/2016/08/ie10analyzer.html
IE10Analyzer
IE10Analyzer This tool can parse normal records and recover deleted records in WebCacheV01.dat. WebCacheV01.dat is used in Inte...
moaistory.blogspot.com
위 링크에서 다운받을 수 있습니다. 실행을 시키고 WebCacheV24.dat 파일을 드래그 앤 드랍으로 열어봅시다.
우선 가장 처음에 나오는 설정들은 디폴트로 그대로 놔두시고 Open 을 누릅니다.
다음 시간 설정하는 부분이 나오는데, 문제에서 UTC+9 라고 했으니 똑같이 맞춰주고 save를 누릅니다.
파일을 열면 왼쪽에 보이는 각 항목별로 데이터를 수집할 수 있습니다. 가장 만만해 보이는 History를 클릭해 봅시다.
History 탭에서는 사용자가 웹 사이트에 기록한 정보들을 보여주는데, Access Count는 방문 횟수를, AccessTime은 마지막 방문 시간을, URL은 방문한 URL을 나타냅니다. 문제 1의 가장 많이 방문한 URL과 문제2의 마지막 방문 시간 모두를 알 수 있을 것 같습니다.
가장 많이 방문한 URL을 파악하기 위해 AccessCount가 가장 높은 URL을 찾아봅시다.
AccessCount가 가장 높은 URL은 519번의 Count가 된 http://www.hanrss.com/ 으로 발견되었습니다!
AccessedTime도 확인하기 위해 더블 클릭을 한 후 찾아보면
해당 시간은 2012-08-30 14:59:49 로 발견되었습니다.
=======================================================================
#1 : 용의자가 가장 많이 접근했던 사이트의 URL은?
KEY Format : URL(http://aaa.bbb.cccc/)
=> URL(http://www.hanrss.com/ )
#2 : 해당 URL에 마지막으로 접근한 시간은?
KEY Format : yyyy-MM-dd_hh:mm:ss
=> 2012-08-30_14:59:49
'Forensic > CTF-D_Disk' 카테고리의 다른 글
| [CTF-D_Disk]조개를 찾아 열고, 진주를 찾으십시오. (0) | 2020.06.09 |
|---|---|
| [CTF-D_Disk] 저희는 디스크 이미지를 찾았습니다. (0) | 2020.06.08 |
| [CTF-D_Disk] 윈도우 작업 관리자에서 우클릭... (0) | 2020.06.05 |
| [CTF-D_Disk] A회사 보안팀은 내부직원… (0) | 2020.06.04 |
| [CTF-D_Disk] 이벤트 예약 웹사이트를 운영하고..#A,B,C (0) | 2020.06.01 |
