2020. 3. 16. 11:34ㆍ문제연습/CTF 실전
티스토리 블로그는 PC 환경에 최적화되어 있습니다.
모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.
CodeGate 2012 - Forensic 100 연습
네이버 블로그는 모바일 환경에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세...
blog.naver.com
안녕하세요, ICMP입니다.
이번 시간에는 워게임 문제가 아닌 실제 해킹 대회에서 출제된 문제를 풀어 보도록 하겠습니다.
확실히 워게임 문제와는 다르게 상당히 실용적이면서 난이도도 체감상 굉장히 높았습니다.
저도 write up을 보면서 부족한 부분을 채워야겠습니다.
그럼 오늘의 본론으로 가보도록 하겠습니다.
문제 내용
In order to steal financial information of Company X, IU got a job under cover. She decided to attack CFO’s computer, and then insert malicious code to his computer in the way of social engineering. She figured out that he didn’t use to turn off his computer, when he gets off work. After he leaves the office, she obtains financial data from his computer to search EXCEL file. By checking installed application program, she can find the information in the file. She lacks the file externally. In order to remove all traces, she erases malicious code, event logs and recent file list.
The company X has to figure out what information she stole correctly to make an appropriate measure. These are files attacked from CFO’s computer. Find the full path and size of the file which she stole. On the day, CFO left the office at 14:00. The time is based on Korea Standard Time(UTC +09:00).
Answer: strlwr(md5(full_path|file_size)) (‘|’ is just a character)
문제를 요약하자면 해커가 CFO의 컴퓨터를 해킹했는데, 여기서 탈취당한 파일의 경로와 크기를 찾아라는 내용입니다. (또 이벤트 로그나 최근 파일 목록 등을 모두 지웠다고 하네요.)
그럼 확인을 해보도록 하겠습니다.
문제 연습
일단 파일을 다운로드하도록 하겠습니다.
shell-storm | Repository
shell-storm.org
위 링크에 들어가서 CodeGate 2012 폴더에 들어간 다음 Forensic100/ 경로에 들어가서 파일을 다운로드해 주시면 됩니다.
일단 파일을 다운로드했는데 확장자가 보이지 않으므로 리눅스에서 열어 보겠습니다.
리눅스 터미널창에 file 명령어를 이용하여 파일을 분석하니 7z로 압축이 되어 있다고 합니다.
그럼 이제 윈도우 환경으로 옮겨와서 확장자를 7z로 바꾼 다음 파일 압축을 풀도록 하겠습니다.
압축을 푸니 다음과 같은 파일이 나왔습니다.
파일 이름으로 추측했을 때 아무래도 사용자 계정 디렉터리인듯합니다.
여러 사용자가 보이는데 일단 엑셀 파일의 유무를 확인해 보도록 하겠습니다.
아무리 검색하고 뒤져봐도 xls, xlsx의 확장자를 가진 파일은 없습니다.
검색 도중 xls, xlsx 파일을 링크한 LNK 확장자 파일은 찾을 수 있었습니다. 즉, 바로 가기 파일을 이용해서 원본 파일의 정보를 찾아야 할 듯합니다.
여기서 엑셀 파일의 경로나 링크(LNK) 파일에 대한 지식이 부족해서 아래 링크를 참고했습니다.
엑셀 한글 인터넷 임시저장파일 저장위치 및 복구할수있는 방법
1. PPT -> 파워포인트 임시 저장 파일위치 c:\windows\temp\*.tmp파일 c:\users\계정명\Appdata\Local\temp\*.tmp 용량이 비슷한 파일을 찾아 원본파일이 훼손되지 않게 다른곳으로 복사를 한후 확장자를 ppt.pptx..
leisurely45.tistory.com
링크 파일 포맷 분석
링크 파일과 링크 파일 포맷에 대해서 알아보자 | 1. 링크 파일 Shell link나 shortcut로 불리는 Link 파일 구조체는 다른 데이터를 접근하는 데 필요한 정보를 포함하고 데이터이다. Shell Link Binary File Format은 확장자가 “.LNK”인 윈도우 파일의 포맷이다. Shell Link는 보통 응용프로그램을 실행하거나 OLE(Object Linking and Embedd
brunch.co.kr
정확히는 윈도우 운영체제를 공부해야 합니다.
아래 C:\Users\사용자명\AppData\Roaming\Microsoft\Office\Recent 링크를 들어가면 최근 접근 파일 목록을 볼 수 있습니다.
아래 경로로 들어가니 의심스러운 파일 하나가 보입니다.
그럼 이 파일이 참조하고 있는 원본 파일의 정보를 분석해야 합니다.
일단 의심되는 파일의 속성을 보니 원본 파일의 경로가 발견되었습니다.
파일 경로 :C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx
이 파일은 언제까지나 링크 파일이기에 원본 파일에 대한 경로만 알 수 있으므로 헥스 에디터나 LNK 분석 툴로 분석해야 좀 더 정확한 정보를 알 수 있습니다.
아래 링크를 참고해 주세요.
바로가기(LNK) 파일
윈도우에는 다른 OS와 차별화된 '바로가기' 라는 기능의 파일이 존재한다. 다른 OS에는 비슷한 기능으로 심볼릭 링크가 존재한다. 대부분의 사람들이 이 두 기능을 같은 기능으로 보고 있지만, 분명히 다른 기능이..
maj3sty.tistory.com
위에 있는 링크 글에 따르면 원본 파일의 크기는 0x2450이 되겠습니다.
CodeGate 2012 포렌식 100 문제를 풀었습니다. (제 기준에서는 많이 어렵군요. 경험이 부족합니다.)
다음 시간, 마찬가지로 CodeGate 2012문제 중 난이도가 낮은 문제를 풀어보도록 하겠습니다.
이상 ICMP였습니다!!!
'문제연습 > CTF 실전' 카테고리의 다른 글
| CodeGate 2018 - droid.apk (0) | 2021.09.29 |
|---|---|
| CodeGate 2018 - BaskinRobins31 (0) | 2021.06.12 |
| SECCON Quals 2015 - rock_paper_scissors (0) | 2021.06.11 |
| Defcamp CTF Quals 2015 - r100 (0) | 2021.06.05 |