CTF-d_Disk #1~3 이벤트 예약 웹사이트를 운영하고…

출처) http://www.ctf-d.com/

[DigitalForensic] with CTF

[그림1. 1번 문제]

 

[그림2. 2번 문제]

 

[그림3. 3번 문제]

 

• 이번 문제는 Disk관련 문제이다.
• A~C번까지 문제가 연결되어 있다.
• 주어진 문제 파일 2012_Secuwave F100.7z을 다운 받아 열어보았다.

 

[그림4. 2012_Secuwave F100.7z]

 

• 6개의 폴더 안에는 각각 이러한 파일이 들어있다.

> accounts  - history:사용자가 입력했었던 명령어 저장

                - group:사용자 그룹목록

                - last_R:로그인 상태

                - lastlog:마지막 접근했던 사용자 정보

                - passwd:마지막에 추가된 정보

                - shodow

                - w: 현재 사용자

 

> file         - fls_r_m, mactime_b

 

> network  - arp

               - lsof:프로세스에 대한 네트워크 정보 출력

               - netstat_an

 

> osinfo    - date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a

> process  - crontab, ipcs_u, lsmod, ps_eaf(프로세스정보 확인), pstree_a, sad

> weblog  -access.log : 웹 로그 정보가 담김.

 

 

[그림5. process-> ps_eaf 파일]

• sublime으로 ps_eaf파일을 열어 로그를 확인해 보면 웹 쉘 파일로 보이는 reverse.php를 업로드 하는 게 보인다.
• 일단 pid 5244 5245를 메모해 두었다.

 

 

[그림6. network-> lsof 파일]

• pid 5244는 sh로 실행되었고, 5245는 php로 실행된 것을 알 수 있다. 
• 그리고 www/upload/editor/image를 보아 이미지를 업로드 한 것으로 추측된다.
• B의 답은 5245이다.

 

 

[그림7. network-> lsof 파일]

• pid 5245를 검색하여 좀 더 내려보면 PID 기반 ESTABLILSHED로 세션이 연결되어 있는 것을 볼 수 있다.
• 사용자 ip주소는 192.168.184.162이고 세션 연결된 공격자의 ip는 144.206.162.21임을 알 수 있다.
• c번 문제도 답을 찾았다.

 

 

 

[그림8. web log-> access.log 파일]

 

[그림9. web log-> access.log 파일]

 

[그림10. web log-> access.log 파일]

 

• web log폴더에서 access.log파일을 열어 /upload/editor/image를 검색해보았다.
• 검색 결과 3개의 문자열이 나왔다.
• cmd.php?cmd=뒤에 알 수 없는 문자열이 있고, 문자열 끝에 %20%20을 보아 url 인코딩인 것을 알 수 있다.
• %20%20은 url 인코딩이므로 지우고, base64 형식에 맞게 뒤에 ==을 붙여 디코딩한다.

 

[그림11. base64 디코딩 결과]

 

• 문자열을 차례대로 보면 해당 경로에 존재하는 모든 파일 목록을 출력했다.
• 그리고 tar로 압축하여 업로드했던 걸 알 수 있다.
• 마지막으로 인코딩된 문자열이 있는 곳이 유출한 시간이라고 볼 수 있다.

 

 

 

 

KEY

A : 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? 2012-08-25_17:26:40

B : 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? 5245

C : 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? 144.206.162.21