Hack the Packet 보고서 위 dj

Size: px

Start display at page:

Download "Hack the Packet 보고서 위 dj"

상조 임
4 years ago
Views:

1 Hack the Packet 보고서 위 dj

2 목차 1. L L L L L L M M M M M M H H H

3 1. L01 Q 2012_htp_prequal.pcap 파일은어떤환경 (System Information) 에서캡쳐한 것일까? 주어진 2012_htp_prequal.pcap 파일을 HxD 로열었다. 64-bit Windows 7 Service Pack 1, build 7601 이라고시스템환경이나와있다. 2. L02 Q 2012_htp_prequal.pcap 파일은어떤도구로캡쳐한것일까? ( 대문자로입력 )

[ 그림 1] ARP Packet [ 그림 1] 을통해공격자 ip는 192.168.232.131이라는것을알수있다.

4 3. L1 Q. ARP_Spoofing 에의해서나의아이디와패스워드가유출됬다! ** key is AttackerMacaddress_VictimPassword ARP_Spoofing 에의해유출되었다고했으므로우선 arp_spoofing 공격을한 attcker 를찾았다. [ 그림 1] ARP Packet [ 그림 1] 을통해공격자 ip는 이라는것을알수있다. Ethernet II, Src: Vmware_f3:21:ad (00:0c:29:f3:21:ad), Dst: Broadcast (ff:ff:ff:ff:ff:ff) 해당 ip를 destination으로하여필터링을하여 id, password를찾았다. [ 그림 2] id, password Packet [ 그림 2] 를통해 login.php 에 post data 로 login 시도를한 Packet 을찾았고, post data 를확인하여 password 를찾았다.

[truncated] charset_test=%e2%82%ac%2c%c2%b4%2c%e2%82%ac%2c%c2%b4%2c%e6%b0%b4%2c%d0% 94%2C%D0%84&lsd=PPm9h&locale=ko_KR&email=HI_GAL@gmail.

5 [truncated] charset_test=%e2%82%ac%2c%c2%b4%2c%e2%82%ac%2c%c2%b4%2c%e6%b0%b4%2c%d0% t_persistent=0&charset_test=%e2%82%ac%2c%c2%b4%2c%e2%82%ac%2c%c2%b4%2c%e6%b0 %B 4. L2 Q. 남자들이뼛속까지좋아하는여자는누구? DNA 연구결과가발표되었다. 바코드를찾아라! 문제내용만봐서는우선웹통신을했을것이라생각하고필터를 http 로주었다. [ 그림 3] DNA_Map.jpg 요청 Packet [ 그림 3] 을통해 get 으로 DNA_Map.jpg 파일을요청했고이에대해정상적인응답을받은것을 확인했다. 해당파일을다운로드했다. [ 그림 4] DNA_Map.jpg Packet

Follow TCP Stream 을클릭해 [ 그림 4] 와같은화면에서 Save As 를통해파일로저장한후해당 파일을제외한나머지 Packet data 들을삭제하여파일을추출했다. [ 그림 5] DNA_Map.jpg 스마트폰을이용하여해당바코드를찍어답을확인했다. 5. L4 Q. 우탱아, 가을인데단풍놀이가야지 ~ 어디로갈까?

6 Follow TCP Stream 을클릭해 [ 그림 4] 와같은화면에서 Save As 를통해파일로저장한후해당 파일을제외한나머지 Packet data 들을삭제하여파일을추출했다. [ 그림 5] DNA_Map.jpg 스마트폰을이용하여해당바코드를찍어답을확인했다. 5. L4 Q. 우탱아, 가을인데단풍놀이가야지 ~ 어디로갈까? 필터를주지않고 Packet info 를확인하며분석했다. [ 그림 6] where_is_it.jpg 요청 Packet [ 그림 6] 을통해 where_is_it.jpg 파일을요청한것을알수있다. 해당 Packet을 Follow TCP Stream하여파일을전송받은것을확인했고, Save As를통해파일로저장한후 [ 그림 7] 과같이필요없는데이터를지워 where_is_it.jpg를추출했다.

7 [ 그림 7] where_is_it.jpg 추출 [ 그림 8] Google 이미지검색 추출한파일을 [ 그림 8] 과같이 Google 이미지검색을하여정보를얻을수있었다.

해당 Packet 을 Follow TCP Stream 하여파일을전송받은것을확인한후추출했다. [ 그림 10] noexe.

8 6. L5 Q 악성다운로더 필터를주지않고 Packet info 를확인하며분석했다. [ 그림 9] noexe.exe 요청 Packet [ 그림 9] 을통해 noexe.exe 파일을요청한것을알수있다. 해당 Packet 을 Follow TCP Stream 하여파일을전송받은것을확인한후추출했다. [ 그림 10] noexe.exe Strings 추출 noexe.exe 를 BinText 를사용하여 [ 그림 10] 과같이 Strings 를추출했다. [ 그림 11] 과같이실행도해보았다. [ 그림 11] noexe.exe 실행

9 7. M1 Q. 나는누구인가? 네오는오라클에게 FTP 로 Zip 파일을받게되는데... FTP 라는언급이있었으므로필터를 ftp 로준후분석했다. [ 그림 12] FTP Packet FTP 로전송받은데이터중 zip 파일은 Neo_help_me.zip 밖에없었다. 필터를 ftp-data 로주고 해당파일을다운받은 Packet 을찾았다. [ 그림 13] Neo_help_me.zip Packet

Follow TCP Stream 을 통해해당파일을추출한후압축을해제하여 who_am_i.txt 파일의내용을확인했다. [ 그림 14] who_am_i.

10 시퀀스넘버를통해 1819 Packet 이 Neo_help_me.zip 파일을받은 Packet 이라는것을알수있다. [ 그림 13] 을통해해당 zip 안에 who_am_i.txt 파일이있는것도알수있다. Follow TCP Stream 을 통해해당파일을추출한후압축을해제하여 who_am_i.txt 파일의내용을확인했다. [ 그림 14] who_am_i.txt [ 그림 14] 에서알수있듯이 who_am_i.txt 파일의내용은 hex값으로되어있다. 해당 hex값의 ascii code값을확인하면 base64를사용하여 encode한것같은값이보인다.(== 때문 ) 해당값을 [ 그림 15] 와같이 SND_RT를사용하여 Decode했다. [ 그림 15] Base64 Decode

11 8. M2 Q. DB 이름을찾아라! 필터를주지않고 Packet info 를확인하며분석했다. [ 그림 16] SQL Injection Packet [ 그림 16] 과같이 SQL Injection 을통해 database 이름을추출하는 Packet 을발견했다. [ 그림 17] SQL Injection 을통한 Database name 추출 Packet 필터를 ip.src== ip.src== 로주고관련 Packet 을확인했다.

[ 그림 18] ip 대역이 B 클래스인 Packet [ 그림 18] 에서알수있듯이 ip 주소가 B 클래스로올라갔다. 즉, 192.168.10.1 을라우터로의심할 수있다.

12 [ 그림 17] 을자세히보면공격에실패했을땐응답 Packet 의 Length 가 260 정도고공격에 성공했을땐응답 Packet 의 Length 가 320 정도인것을알수있다. 성공한응답 Packet 을보내준 공격문자 17 개를모았다. 9. M3 Q 라우터에백도어가삽입되어있다. 마지막으로실행된명령어는? [ 그림 18] ip 대역이 B 클래스인 Packet [ 그림 18] 에서알수있듯이 ip 주소가 B 클래스로올라갔다. 즉, 을라우터로의심할 수있다. Follow TCP Stream 을통해주고받은데이터내역을확인했다. [ 그림 19] 라우터와주고받은데이터 [ 그림 19] 와같이라우터와주고받은데이터를확인했고, 스크롤을내려제일마지막으로전송한 데이터도확인했다.

13 10.M4 Q. 누군가가나의 Secret 폴더의내용을읽었다! ** Key is Secret.txt_hiden.txt_pass.txt in Secret Folder 필터를주지않고 Packet info 를확인하며분석했다. [ 그림 20] cd secret 명령 packet [ 그림 21] Follow TCP Stream

14 [ 그림 20] 을통해 cd secret 명령어를전송하는 Packet을확인할수있다. [ 그림 21] 과같이 Follow TCP Stream을통해 secret 폴더의내용을알수있다. 문제설명에있는것처럼 secret.txt와 hiden.txt, pass.txt파일이존재했고, 해당파일을요청하는 Packet과이에대한응답 Packet을찾았다. [ 그림 22] secret.txt 파일내용 [ 그림 22] 를통해 secret.txt 파일의내용을확인했고, 같은방법으로 hiden.txt, pass.txt 의내용도 확인했다.

15 11.M5 Q 메일사용자계정과패스워드가 IRC 봇에감염되어유출됐다. 해당 IRC 부분의 packet 을찾아확인하면전송되는계정과패스워드를알수있다. 12.M6 Tls-SSH 를통해먼가하고있다. 해당부분을추출했다. 그림을통해키이벤트인풋메시지로어떤키가입력이됐는지를알수있다. 해당메시지를다확인하면 **%K%KEEYY***ºº*PPOOCC#H#HTTPP 8 8 가나오는데의미있는 문자열을추출하면 POCHTP 가된다. 13.H1 Q. 이메일을통해 jitae 의첫번째데이트기밀정보를입수하는데...

Promise.mp3 첨부파일이있는것을알수있다. 그림을보면 audio/mpeg 파일을전송받은것을알수있다.

16 [ 그림 문제에서이메일을통해입수했다고했으므로필터를 http 로주었다. 그림에서알수있듯이 이메일과관련된요청은총 4 건이었다. 첫번째응답 Packet 을 html 파일로저장하여확인했다. Promise.mp3 첨부파일이있는것을알수있다. 그림을보면 audio/mpeg 파일을전송받은것을알수있다. Promise.mp3 파일을추출했다. 해당파일을실행하면아무런의미없는 개똥이네버블버블 이라는음성만들린다. 스테가노그래피라는힌트를확인한후 decoder라는툴을사용하여숨겨진메시지를추출했다.

17 14.H3 Q. 우태혁의여자친구이름은무엇이고, 어디에살고있는가? 부분에서 follow tcp stream 을했다. 우태혁이라는이름이나왔다. 계속하여관련 Packet 들의 follow tcp stream 을통해여자친구로

18 보이는이름과사는곳으로보이는섬을알수있었다. 15.H5 Q. 네이트온사진함께보기를통해, 우탱이는어떤수학문제를알게됐을까? 네이트온전송 packet 을통해파일을추출했다. 혹시나해당둘레의길이가답인가하고계산하여인증했다.

Hack The Packet Online PreQUAL 이진혁 [ loca ]

Hack The Packet Online PreQUAL 이진혁 [ loca ] loca@loca.kr L01 Q 2012_htp_prequal.pcap 파일은어떤환경 (System Information) 에서캡쳐한것일까? EQ Which System be used when this 2012_htp_prequal.pcap file captured? Hex Editor