DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고...#A

A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?

 

먼저 2012_Secuwave.....7z파일을 다운받아서 안에 들어있는 파일들을 확인해보았다.

 

 

폴더명을 보니 2012-08-27일자의 기록들이 담겨있는 것으로 추정된다.

 

accounts 폴더에는 사용자 그룹과 사용자가 입력한 명령어를 기록한 파일 등 사용자 계정과 관련된 파일들이 있으므로

accounts 하위의 history 파일을 열어보았다.

 

cp –r /home/dev/htdocs/* /var/www

: /home/dev/htdocs 에 존재하는 모든 파일과 폴더를 /var/www에 복사한다.

 

mysql -u root -p < /home/dev/sqldump.sql

: root 권한으로 /home/dev 에 존재하는 sqldump.sql 파일을 db에 삽입한다.

 

chmod 777 /var/www/upload/editor/image

: /var/www/upload/editor/image 파일의 권한을 777로 변경한다.

 

*777은 모든 계정이 해당 파일을 읽기,쓰기,실행 모두 사용 가능하다는 뜻이다.

=>의심스러운 부분. 왜 /var/www/upload/editor/image의 파일 권한을 모두 사용으로 바꿨을까.

 

adduser ahnlab

: 유저 ahnlab을 추가한다.

 

adduser ahnlab sudo

: 유저 ahnlab에게 sudo 권한을 준다.

 

수상한 점을 찾았으니 모든 계정에서의 모든 프로세스에 대한 정보를 가지고 있는 ps_eaf 파일에서 /var/www/upload/editor/image 이부분을 찾아보았다.

 

5244는 쉘 명령어 옵션이고 실제 php 명령을 실행하는 프로세스는 5245 인 것 같다.

 

의심되는 프로세스인 5245의 네트워크 정보를 보기 위해 network 폴더 하위의 lsof 파일을 확인해보았다.lsof 파일은 시스템에서 열려있는 파일 목록, 사용중인 프로세스와 디바이스 정보 등의 자세한 정보를 알 수 있다.

 

5245를 검색해서 쭈욱 보다보니 TCP 관련 흔적을 찾을 수 있었다.

경로가 수정된 곳의 IP가 144.206.162.21 이므로 이게 아마도 공격자 IP 일 것 같다.

공격자 IP로 추정되는 것을 찾았으니 문제에서 요구하는 시간을 알아보기 위해서 

weblog 하위의 access.log 파일을 열어서 찾아보았다.

 

 

Base64 디코딩을 해보면

 

cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA

=> php -f /var/www/upload/editor/image/reverse.php

 

따라서 실행시간은 25/Aug/2012:17:26:40 (2012-08-25_17:26:40)

 

이걸 문제에서 주어진 키포맷에 맞게 수정해주면

정답 !