Contest(3)
-
[cce2020] forensic - [하] simple memory
문제 첫 화면이고 메모리 덤프 파일에서 악성코드를 찾는 문제다. 하단의 링크에서 덤프 파일을 다운 받고 압축해제를 했다. volatility로 운영체제를 분석한 결과는 'Win7SP1x64'다. 분석한 운영체제 정보로 프로세스 리스트를 출력했다. 프로세스 리스트를 훑어보다가 'malware.exe'라는 의심스러운 프로세스를 발견했다. procdump 플러그인을 사용해서 'malware.exe' 프로세스를 실행 가능한 파일로 덤프했다. 덤프한 파일의 hex값을 확인했더니 flag가 숨겨져 있었다. 파일 실행이 안돼서 윈도우로 파일을 옮겨와서 실행시켰다. cce2020{a755febafb7ed2179bdece02b8d35050}
2020.09.26 -
[cce2020] forensic - [하] sharkme
문제 첫 화면이고 비밀 문서가 해커에 의해 유출됐다. 유출된 문서를 조사하라는 문제다. 하단의 pcap 파일을 다운로드 해서 열어봤다. 파일이 유출됐으니까 ftp 프로토콜만 필터링 했다. 훑어보다가 'cce2020.docx' 파일이 유출된 흔적을 발견했다. ftp-data로 다시 필터링 했더니 파일이 전송됐음을 확인했다. 그림3의 패킷을 TCP Stream으로 열어서 파일 시그니처를 확인하고, 저장한 파일을 열었는데 열리지 않았다. 구글링 해보니까 저장할 때 RAW 모드로 저장해야 된다는 것을 알았다. 그래서 RAW 모드로 변경하고 다시 저장했다. 저장한 파일을 열었더니 flag가 나왔다. cce2020{baby-shark-doodoodoodoo-wire-shark-doodoodoodoo}
2020.09.26 -
[cce2020] web - [하] easy sqli
문제 첫 화면이고 하단에 웹페이지 링크가 있어서 클릭했다. 웹페이지는 위와 같이 로그인 페이지였다. sql injection 공격을 해서 로그인을 하는 문제라고 예상했다. 그래서 아래와 같이 아이디 뒤 구문을 주석 처리하는 공격문을 입력했다. id : admin'-- pw : 1234(임의로) 결과는 실패였다. 그래서 아이디는 그대로 두고 비밀번호를 무조건 참이 되게 하는 공격문을 아래와 같이 입력했다. id : admin pw : 1111'or'1'='1 cce2020{6802fa9c228a38122130dc48d6566353f37366acc7b5a326c880005ed554693d1d62ea143a7ee82ff40f1979d53de1a7e6db78621f5cda77}
2020.09.26