센다이 CTF 센다이 CTF 2019 Lab5. 맬웨어 분석 연습 2100 어쩌면 bintext에서는 해결하지 않을 것입니다 만 일단 해 보겠습니다. 대충 보았지만 역시 없었습니다. ollydbg 사용합니까? 지금의 연월과 이번 플래그가 되는 연월을 비교하는 처리가 어딘가에 있을 것. 우선 API로 현지 시간을 취득하는 처리가 있을 것입니다. 라벨 네임을 보면 GetLocalTime이 있으므로 여기가 괴상할 것 같습니다. 불리는 곳을 확인해 봅니다. 하나만 있습니다... 센다이 CTFCTF 센다이 CTF 2019 Lab3. 수상한 다운로드 100 windows 표준 명령으로 파일을 다운로드할 수 있었는지! wget적인 수 있습니까? powershell입니까? powershell 관련 로그는 다음 세 가지입니다. Microsoft-Windows-PowerShell%4Operational.evtx를 제외하고 0건이었습니다. Microsoft-Windows-PowerShell%4Operational.evtx의 내용을 보면 2건 로그가 있었... 센다이 CTFCTF 센다이 CTF 2019 NL3.SQL 주입 100 문제의 파일을 살펴 보겠습니다. 이번에도 웹 로그와 DB 로그입니다. 웹 로그를 보았을 때 조금 전의 로그와 같습니다. 공격의 GET의 조금 전에 POST가 있어 그 파라미터를 보면 action=register라고 쓰여져 있어, 유저 등록한 느낌이 있지요. 11/Nov/2019:23:01:33을 DB 로그에서 살펴 보겠습니다. 유저명은 email이라고 하는 것과 같은 것이므로 마스크 해 둡니... 센다이 CTFCTF 센다이 CTF 2019 Opw6.C2 서버 100 ① 감염 단말기에서 흔적을 찾는 방법. ②멀웨어로부터 통신처를 찾는 방법. 의 2가지가 있는 것 같습니다만, Windows의 가상 머신을 가지고 있지 않기 때문에, 이번은 ①감염 단말로부터 흔적을 찾는 방법으로 합니다. 하치베 씨가 감염되어 있기 때문에, 그 PC를 조사합니다. 웹 기록을 살펴보겠습니다. BrowsingHistoryView를 사용합니다. 문제 문장에서 "〇〇.com"이라는 것... 센다이 CTFCTF 센다이 CTF 2019 Opw4. 수상한 URL 100 방금 답변 파일을 열어보십시오. 5행째의 첫번째 쪽에 powershell이라고 써 있고 7행째에 run하고 있기 때문에 powershell로 무언가를 실행할 것입니다. 통신처는 5행째를 해독하면 좋을 것 같습니다. 7행을 alert로 바꿔보자. 좋지 않았습니다. javascript가 아니고 jscript이었는가? 조금 살펴 보겠습니다. WSH (JScript) 외부 입력 관련 - 버그 제거의... 센다이 CTFCTF 센다이 CTF 2017 [Lab03] 타임라인 해석 100 문제를 다운로드하면 dd 파일이었습니다. 문제 문적으로 plaso를 사용하여 타임 라인을 보는 흐름이므로 plaso를 사용해 보겠습니다. 처음 사용합니다. 잘 된 것 같습니다. 이렇게하면 diskimage.dd를 db.plaso로 변환하는 과정을 수행하는 것 같습니다. db.plaso는 plaso로 읽을 수 있는 형식입니다. 성공한 것 같습니다. 문제문을 보면 라고 적혀 있기 때문에 1 뭔가... 센다이 CTFCTF 센다이 CTF 2017 [ForX-2] FAT32 포맷 일시(확인 문제) 300 도메인이 변경되었습니까? 확인 문제? 와 같이 풀어 보겠습니다. 이것이 대답일까라고 생각하면, 어떻게 달랐습니다! 과연 제 해결 방법은 실은 옳지 않다는 것입니다. 정책으로는 어딘가에 포맷 한 날짜와 시간이 남아 있습니다 일본 이외의 타임 존으로 포맷하고 있어, 일시를 변환할 필요가 있다 중 하나를 생각하고 싶습니다. 1은 google 검색해 보았습니다만, 발견되지 않았으므로 일단 보류. 타... 센다이 CTFCTF 풀리지 않음CTF 센다이 CTF2017 [For01] USB 메모리 감염 일시 100 다운로드하고 내용을 봅니다. 일련 번호 필요? 라고 생각하면서, zip을 해동. dd 파일입니다. FTK Imager로 내용을 보자. 어떤 파일이 바이러스인지 언급되어 있지 않지만, 아마 이 exe 파일이지요. 이 파일을 만든 날짜를 확인합니다. 이 일시는 UTC이므로 9시간 더해 일본 시간으로 한 것이 대답. 라고 생각하면 달랐다. 다른 파일일까라고 생각하고, 가장 오래된 시간의 것을 입력... 센다이 CTFCTF 센다이 CTF2017 [LogX] 국내 IP 주소 300 apache 로그는 익숙한 파일. APNIC의 파일은 이런 형식. 아니 IP의 비교는 의외로 귀찮다고 생각해 도망치고 싶어졌습니다. 어떻게 든 Excel에서만 풀고 싶습니다. 우선 JP 또한 ipv4 밖에 필요 없기 때문에, 다른 것을 삭제합니다. 범위는 가장 작고 얼마나 보았을 때 256이었습니다. IP 주소의 비교는 힘들어-라고 생각하면 문득 "16진수로 생각하면"레인지도 더하면 좋을 뿐... 센다이 CTFCTF 센다이 CTF2017 [Log02] SSH에 의한 부정 로그인 100 문제의 파일을 다운로드하여 내용을 확인합니다. SSH 로그와 같습니다. 실은 SSH의 로그를 제대로 본 적이 없기 때문에 일반적인 로그인지는 모릅니다. 적당히 보고 있으면 111111의 사람이 패스워드 실수를 몇번이나 하고 있으므로, 아마 이것이 브루트포스같다. 그래서 이것으로 grep 해 보겠습니다. 끝까지 Failed였습니다. password로 grep 해 보았는데 대량의 Failed를 ... 센다이 CTFCTF 센다이 CTF2018 Mal.4 검체 4 JavaScript2 300 파일을 다운로드하여 난독 화된 js를 살펴보십시오. 난독화네요. 우선 곳곳에 「;」가 있으므로 이 직후에 개행해 보겠습니다. 첫 번째 변수는 검색해도 어디에도 히트하지 않기 때문에 다른 곳에서는 사용되지 않는 더미라는 것을 알았습니다. 두 번째 변수는 char을 문자열로 변환하므로이를 변환합니다. CyberChef를 사용합니다. 분명히 powershell을 사용하는 것 같습니다. 세 번째 변... 센다이 CTFCTF 센다이 CTF2018 Mal.3 검체 3 워드 문서 100 파일을 다운로드하고 압축을 풉니다. 단어 파일이었습니다. 일단 사쿠라 에디터에서 열어 보겠습니다. 이것은 word 파일이 아니라 리치 텍스트입니다. word 파일이라면 매크로를 보면 통신처가 쓰고 있을 것 같았지만, 이 경우는 어떻게 할 것입니다. 문제 문장에 실해가 있는 동작은 하지 않습니다. 라고 써 있었으므로, 과감히 실행해 본다. wireshark에서 http 통신이 주면. 라고 생각... 센다이 CTFCTF 센다이 CTF2018 For.4 파일 복원 300 파일을 다운로드하고 압축을 풀 때 dd 파일이있었습니다. FTK Imager에서 열어보세요. 확실히 파일이 있음을 확인할 수있었습니다. 그리고 사이즈가 0이 되어 있는 것도 확인할 수 있었습니다. 파일을 삭제하고 있다면 바로 복원할 수 있을 것 같습니다만, 사이즈 0으로 덧쓰기한 경우는 어떻게 복원할까요? 조금 몰랐기 때문에, 자신의 단말에서 같은 일을 해 보았습니다. 일단 텍스트에 문자를 ... 센다이 CTFCTF
센다이 CTF 2019 Lab5. 맬웨어 분석 연습 2100 어쩌면 bintext에서는 해결하지 않을 것입니다 만 일단 해 보겠습니다. 대충 보았지만 역시 없었습니다. ollydbg 사용합니까? 지금의 연월과 이번 플래그가 되는 연월을 비교하는 처리가 어딘가에 있을 것. 우선 API로 현지 시간을 취득하는 처리가 있을 것입니다. 라벨 네임을 보면 GetLocalTime이 있으므로 여기가 괴상할 것 같습니다. 불리는 곳을 확인해 봅니다. 하나만 있습니다... 센다이 CTFCTF 센다이 CTF 2019 Lab3. 수상한 다운로드 100 windows 표준 명령으로 파일을 다운로드할 수 있었는지! wget적인 수 있습니까? powershell입니까? powershell 관련 로그는 다음 세 가지입니다. Microsoft-Windows-PowerShell%4Operational.evtx를 제외하고 0건이었습니다. Microsoft-Windows-PowerShell%4Operational.evtx의 내용을 보면 2건 로그가 있었... 센다이 CTFCTF 센다이 CTF 2019 NL3.SQL 주입 100 문제의 파일을 살펴 보겠습니다. 이번에도 웹 로그와 DB 로그입니다. 웹 로그를 보았을 때 조금 전의 로그와 같습니다. 공격의 GET의 조금 전에 POST가 있어 그 파라미터를 보면 action=register라고 쓰여져 있어, 유저 등록한 느낌이 있지요. 11/Nov/2019:23:01:33을 DB 로그에서 살펴 보겠습니다. 유저명은 email이라고 하는 것과 같은 것이므로 마스크 해 둡니... 센다이 CTFCTF 센다이 CTF 2019 Opw6.C2 서버 100 ① 감염 단말기에서 흔적을 찾는 방법. ②멀웨어로부터 통신처를 찾는 방법. 의 2가지가 있는 것 같습니다만, Windows의 가상 머신을 가지고 있지 않기 때문에, 이번은 ①감염 단말로부터 흔적을 찾는 방법으로 합니다. 하치베 씨가 감염되어 있기 때문에, 그 PC를 조사합니다. 웹 기록을 살펴보겠습니다. BrowsingHistoryView를 사용합니다. 문제 문장에서 "〇〇.com"이라는 것... 센다이 CTFCTF 센다이 CTF 2019 Opw4. 수상한 URL 100 방금 답변 파일을 열어보십시오. 5행째의 첫번째 쪽에 powershell이라고 써 있고 7행째에 run하고 있기 때문에 powershell로 무언가를 실행할 것입니다. 통신처는 5행째를 해독하면 좋을 것 같습니다. 7행을 alert로 바꿔보자. 좋지 않았습니다. javascript가 아니고 jscript이었는가? 조금 살펴 보겠습니다. WSH (JScript) 외부 입력 관련 - 버그 제거의... 센다이 CTFCTF 센다이 CTF 2017 [Lab03] 타임라인 해석 100 문제를 다운로드하면 dd 파일이었습니다. 문제 문적으로 plaso를 사용하여 타임 라인을 보는 흐름이므로 plaso를 사용해 보겠습니다. 처음 사용합니다. 잘 된 것 같습니다. 이렇게하면 diskimage.dd를 db.plaso로 변환하는 과정을 수행하는 것 같습니다. db.plaso는 plaso로 읽을 수 있는 형식입니다. 성공한 것 같습니다. 문제문을 보면 라고 적혀 있기 때문에 1 뭔가... 센다이 CTFCTF 센다이 CTF 2017 [ForX-2] FAT32 포맷 일시(확인 문제) 300 도메인이 변경되었습니까? 확인 문제? 와 같이 풀어 보겠습니다. 이것이 대답일까라고 생각하면, 어떻게 달랐습니다! 과연 제 해결 방법은 실은 옳지 않다는 것입니다. 정책으로는 어딘가에 포맷 한 날짜와 시간이 남아 있습니다 일본 이외의 타임 존으로 포맷하고 있어, 일시를 변환할 필요가 있다 중 하나를 생각하고 싶습니다. 1은 google 검색해 보았습니다만, 발견되지 않았으므로 일단 보류. 타... 센다이 CTFCTF 풀리지 않음CTF 센다이 CTF2017 [For01] USB 메모리 감염 일시 100 다운로드하고 내용을 봅니다. 일련 번호 필요? 라고 생각하면서, zip을 해동. dd 파일입니다. FTK Imager로 내용을 보자. 어떤 파일이 바이러스인지 언급되어 있지 않지만, 아마 이 exe 파일이지요. 이 파일을 만든 날짜를 확인합니다. 이 일시는 UTC이므로 9시간 더해 일본 시간으로 한 것이 대답. 라고 생각하면 달랐다. 다른 파일일까라고 생각하고, 가장 오래된 시간의 것을 입력... 센다이 CTFCTF 센다이 CTF2017 [LogX] 국내 IP 주소 300 apache 로그는 익숙한 파일. APNIC의 파일은 이런 형식. 아니 IP의 비교는 의외로 귀찮다고 생각해 도망치고 싶어졌습니다. 어떻게 든 Excel에서만 풀고 싶습니다. 우선 JP 또한 ipv4 밖에 필요 없기 때문에, 다른 것을 삭제합니다. 범위는 가장 작고 얼마나 보았을 때 256이었습니다. IP 주소의 비교는 힘들어-라고 생각하면 문득 "16진수로 생각하면"레인지도 더하면 좋을 뿐... 센다이 CTFCTF 센다이 CTF2017 [Log02] SSH에 의한 부정 로그인 100 문제의 파일을 다운로드하여 내용을 확인합니다. SSH 로그와 같습니다. 실은 SSH의 로그를 제대로 본 적이 없기 때문에 일반적인 로그인지는 모릅니다. 적당히 보고 있으면 111111의 사람이 패스워드 실수를 몇번이나 하고 있으므로, 아마 이것이 브루트포스같다. 그래서 이것으로 grep 해 보겠습니다. 끝까지 Failed였습니다. password로 grep 해 보았는데 대량의 Failed를 ... 센다이 CTFCTF 센다이 CTF2018 Mal.4 검체 4 JavaScript2 300 파일을 다운로드하여 난독 화된 js를 살펴보십시오. 난독화네요. 우선 곳곳에 「;」가 있으므로 이 직후에 개행해 보겠습니다. 첫 번째 변수는 검색해도 어디에도 히트하지 않기 때문에 다른 곳에서는 사용되지 않는 더미라는 것을 알았습니다. 두 번째 변수는 char을 문자열로 변환하므로이를 변환합니다. CyberChef를 사용합니다. 분명히 powershell을 사용하는 것 같습니다. 세 번째 변... 센다이 CTFCTF 센다이 CTF2018 Mal.3 검체 3 워드 문서 100 파일을 다운로드하고 압축을 풉니다. 단어 파일이었습니다. 일단 사쿠라 에디터에서 열어 보겠습니다. 이것은 word 파일이 아니라 리치 텍스트입니다. word 파일이라면 매크로를 보면 통신처가 쓰고 있을 것 같았지만, 이 경우는 어떻게 할 것입니다. 문제 문장에 실해가 있는 동작은 하지 않습니다. 라고 써 있었으므로, 과감히 실행해 본다. wireshark에서 http 통신이 주면. 라고 생각... 센다이 CTFCTF 센다이 CTF2018 For.4 파일 복원 300 파일을 다운로드하고 압축을 풀 때 dd 파일이있었습니다. FTK Imager에서 열어보세요. 확실히 파일이 있음을 확인할 수있었습니다. 그리고 사이즈가 0이 되어 있는 것도 확인할 수 있었습니다. 파일을 삭제하고 있다면 바로 복원할 수 있을 것 같습니다만, 사이즈 0으로 덧쓰기한 경우는 어떻게 복원할까요? 조금 몰랐기 때문에, 자신의 단말에서 같은 일을 해 보았습니다. 일단 텍스트에 문자를 ... 센다이 CTFCTF