HACK THE PACKET 닉네임 이름 if 김형선 보고서는문제를풀면서접근했던방법및결과위주로작성하였습니다. 이모든영광을문제만드시느라고생하신 HackThePacket 운영진에게바칩니다.

HACK THE PACKET 닉네임 이름 if 김형선 보고서는문제를풀면서접근했던방법및결과위주로작성하였습니다. 이모든영광을문제만드시느라고생하신 HackThePacket 운영진에게바칩니다.

L01 Q 2012_htp_prequal.pcap 파일은어떤환경 (System Information) 에서캡쳐한것일까? 제공된.pcap파일을헥사에디터로읽으면매직헤더뒤에. 특정 offset 내, 관련정보존재 64-bit Windows 7 Service Pack 1, build 7601 이나온다.. key is 64-bit Windows 7 Service Pack 1, Build 7601 L02 Q 2012_htp_prequal.pcap 파일은어떤도구로캡쳐한것일까? ( 대문자로입력 ) Capinfos 1) 라는도구를이용해분석실시 Type을통해해당패킷을캡쳐한도구확인가능스니퍼에서패킷을캡쳐할때고유한매직넘버를통해구분하는것같다. 국내패킷에선 pcap,pcapng,libpcap,snoop가대표적인듯 < 그림 1-1 캡쳐한트래픽에대한정보 > Key is Wireshark 1) capinfos : Wireshark 에서제공해주는도구로써, 캡쳐한 packet 에대한상세정보제공

L1 ( 완료 ) Q. ARP_Spoofing 에의해서나의아이디와패스워드가유출됬다! EQ. ID and Password of mine were leaked by ARP Spoofing! Arp spoof 를탐지하는방법과, 유출이라는단어로봐서는 Arp-spoof 이후에 GET 이나 POST 를보내주는부분을 도중에가로채지않았을까라고생각함. L1-1) ARP Spoof - Protocol Hierarchy 기능과 Display filter 이용 ARP 프로토콜의패킷은전체대비 295 건존재 295 건중공격패킷은 10 건존재 arp.duplicate-address-detected

< 목표시스템 ARP Cache-table 변조시도 > Arp reply packet 이므로자동적으로수신받는호스트의 cache-table 에적용됨. 지속적인 wireshark 의 alert 기능 (duplicate IP or mac) 을통한추가검증 공격타임라인 1) 00:15:55 : 정상상태 2) 00:16:00 ~ 00:16:03 : ARP Spoof(10회 ) 3) 00:17:14 : 목표의 SNS 로그인시도로인한아이디패스워드탈취성공 로그인시도한 ID /PW Key is 00:0c:29:f3:21:ad_YONG_GAL

L2 ( 완료 ) Q. 남자들이뼛속까지좋아하는여자는누구? DNA 연구결과가발표되었다. 바코드를찾아라! L2-1 DNA 와 Barcode라는문자열로스캔실시 L2-2 DNA_MAP.jpg에대한 http 요청발견 L2-3 요청에대한응답값에서파일추출시도 DNA_MAP.jpg 요청 L2-4 안드로이드기반바코드스캐너로스캔실시 Key is Key is IU Good < 추출한 DNA_MAP.jpg >

L4 Q. 우탱아, 가을인데단풍놀이가야지 ~ 어디로갈까? L4-1 문자열검색 (Key Word:where, autumn, maple, wotang, L4-2 index.html 내링크되어있는 Where_is_it.jpg 발견 Where_is_it.jpg L4-3 사진내 GPS 좌표정보찾기 -> 실패, 없는걸로판단 L4-4 WinHex로해당그림파일오픈후헥사값에매칭된문자열분석 * A8부터 0x000051A8 offset부터 0x000051B7 까지 Key 값저장됨. Key is K@e*y_:_hallasan

L5 Q 악성다운로더 L5-1 IRC 관련통신발견 -> 원격지령의심통신식별, -> 192.168.100.200:80 의 noexe.exe 를받는걸로추측 의심 IRC 채팅 L5-2 관련내용세부검색 -> http 접근후파일다운로드흔적 2) 발견 GET /no.exe L5-3 헥사에디터이용, 패킷내의심파일추출 추출할실행파일구조 L5-4 프로그램內문자열중키값존재 키값 Key is An$w3r is HTP_Forever@^^@~~ 2) 악성의심프로그램다운흔적 : http://192.168.100.200/noexe.exe

M1 Q. 나는누구인가? 네오는오라클에게 FTP 로 Zip 파일을받게되는데... M1-1 FTP 프로토콜분석 -> 네오관련파일식별 (Neo_help_me.zip) ftp 를이용한파일수신 M1-2 Neo_help_me.zip 파일추출및분석 ZIP 추정파일수신내용 복원한 ZIP 내부압축파일 복원한 ZIP 내부에존재하는 TXT 문서파일내용 M1-3 Who_am_I.txt 內코드복호화시도 -> Base64 인코딩의심문자열추출 헥사값변환 M1-1 의심문자열 base64 디코딩시도 코드內숨겨진키값 Key is I_AM_Trainee_Ahn

M2 Q. DB 이름을찾아라! M2-1 Datebase 란문자열로필터링 의심요청발견 -> http://192.168.232.1/hello/index.php?no=3%20and%20(substring(database(),1,1))='d M2-2 요청값과응답값분석을통해 Blind sql injection 공격으로추정 공격추정요청 -> 참과거짓값에따라응답값이변환, 요청문자가 db 의배열위치의값과동일하다면 * 아이유반환! M2-3 결과값이참인응답패킷으로문자열조합 Key is easywebsiteattack

M3 Q 라우터에백도어가삽입되어있다. 마지막으로실행된명령어는? M3-1 TCP 프로토콜을이용해라우터로의심되는장비간통신식별 M3-2 TCLShell 백도어를이용해접근후 4가지명령어실행 1) sh run 2) enable 3) conf ter 4) hostname An$w3r_is^tcls 백도어접근후실행한명령어리스트 Key is An$w3r_is^tcls M5 Q 메일사용자계정과패스워드가 IRC 봇에감염되어유출됐다. M5-1 IRC 통신에사용되는문자열로필터실시 식별된 IRC 통신內키값존재 Key is K~e!y:good_bye_jobs

M7 Q : chakyi 는원격지시스템에매일일정한시간에프로그램이자동으로실행되도록 만들었다. chakyi 가실행시키고자하는명령을찾아라. M7-1 트래픽內 ATSVC 3) 를이용한예약명령실행식별 ATSVC 를이용한예약명령적용 Key is rundll32.exe redhidden,_main_ 3) ATSVC : Microsoft AT-Scheduler Service 를이용해네트워크를이용한예약작업등록가능

H1 Q. 이메일을통해 jitae 의첫번째데이트기밀정보를입수하는데... 하지만내용없이파일만첨부되어있었다. 데이트장소는언제몇시에어디인가? H1-1 관련패킷추출 ( Keyword : mail, jitae, date, where, attach ) H1-2 통신내역분석및추출 의심메일발견 (Daum) 추출한메일 -> FIRST DATE 란제목으로박정우씨가누군가에게보낸메일추출 H1-3 복구한메일내용에첨부된 promise.mp3 파일추출 첨부된 MP3 통신과정

H1-4 추출한 mp3 재생 추출된 promise.mp3 -> 헥사에디터분석했으나, 키값미존재.. -> 개똥이네버블버블 여기안에키가숨겨져있을것이라고추측 * try keyword : buble, bublebuble, gaetong,... H1-5 종료 4 분전까지갈피를못잡다가.. 지문을보고키값식별..-_-;; -> Key is Jitae 스테가노그래피도구를이용, 숨겨진데이터추출 추출된숨겨진값 Key is sunday, 14:00, GangNam station

H3 Q. 우태혁의여자친구이름은무엇이고, 어디에살고있는가? H3-1 태혁에관련된통신정보수집 -> 해당시점을기점으로분석시작 태혁관련정보 H3-2 해당통신영역근처의 TCP 통신에서태혁과여자친구의심통신내용추출 추출내용 H3-2 의미있는값변환 TCP:172.16.10.129 VER:04040D48 EMAIL:Ha-Neul@ABCDcom LOCATION:Dokdo_island 1차추출값 -> 위치는독도이며, 태혁의여자친구의이름은하늘인것을확인! 2 차추출값 -> 좀더진행하면여자친구의성은김인것을확인할수있다. Key is Kim Ha Neul_Dokdo island