전체 글 (31) 썸네일형 리스트형 DigitalForensic with CTF basics steg.png 파일을 열어보면 위의 파일이 나온다. 마띠의 풀이에서 알게된 온라인 툴을 사용해서 몇몇 옵션을 조정해주면 뭔가 플래그가 보인다. 정답 ! DefCoN#21 #1 round1.pcap 파일을 다운받아서 와이어샤크로 열어보았따. IRC 프로토콜로 통신한게 보여서 이부분 TCP Stream을 확인해보았다. www.url-encode-decode.com/ URL Encode Decode - URL Percent Encoding and Decoding. Join to access discussion forums and premium features of the site. www.url-encode-decode.com 인코딩된 문자열을 위의 사이트를 통해서 복호화해보면 How does Wednesday sound? Great :) what time? ah 2pm Ok, I can't wait! 이렇게 복호화된 문자열을 찾을 수 있다. 정답 ! DigitalForensic with CTF A회사 보안팀은 내부직원... evidence.001 파일을 다운받아서 확인해보니 이미지 파일인 것 같았다. 그래서 FTK 툴을 사용해서 열어보았다. 이렇게 폴더 이름을 보다가 몇개의 폴더들에서 사진들을 확인할 수 있었는데 그 중 가장 의심스러웠던 img는 S-Companysecurity.pdf 파일이었다. 이름부터 내부문서 느낌 뿜뿜 드롭박스를 통해 업로드 한 것 같고 의심되는 파일도 찾았으니 이제 업로드 시간을 확인해야한다.. 캐쉬파일에 업로드 시간기록이 남아있을 것 같은데 구글링으로 조금 찾아보니 드롭박스 동기화 시간 ?? 같은것들이 cache.db에 기록된다고 한다. db 분석은 DB Browser for SQLite으로 했다. 앞서 의심되는 파일이 있었던 tim_folder를 선택한 후 오른쪽 데이터를 추출하여 .plist확.. DigitalForensic with CTF 판교 테크노밸리 K기업에서...#2 lovelove0618.tistory.com/21 DigitalForensic with CTF 판교 테크노밸리 K기업에서...#1 #1 : 용의자가 가장 많이 접근했던 사이트의 URL은? KEY Format : URL(http://aaa.bbb.cccc/) 폴더 속에는 user에 대한 정보들이 있었는데 그중 7ester가 의심되어 들어가 보았다. 웹 사이트 접근 목록은 웹.. lovelove0618.tistory.com #2 : 용의자가 해당 URL에 마지막으로 접근한 시간(UTC+09:00)은? KEY Format : yyyy-MM-dd_hh:mm:ss 앞 문제와 연결되는 #2번 문제는 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내는 것이다. 위의 풀이과정에 다 나와있지만 해당 부분.. DigitalForensic with CTF 판교 테크노밸리 K기업에서...#1 #1 : 용의자가 가장 많이 접근했던 사이트의 URL은? KEY Format : URL(http://aaa.bbb.cccc/) 폴더 속에는 user에 대한 정보들이 있었는데 그중 7ester가 의심되어 들어가 보았다. 웹 사이트 접근 목록은 웹 캐시에 남아 있다. 하지만 어떤 브라우저를 이용해서 웹 사이트에 접근 했는가에 따라서 웹캐시가 달라지면서 분석툴도 달라지기 때문에 먼저 어떤 브라우저를 이용해서 접근했는가를 확인해 보아야 한다. \AppData\Local 에 있는 폴더를 분석 해 보면 어떠한 브라우저를 사용하는지 알 수있다. *Google Chrome : \AppData\Local\Google\Chrome Apple Safari : \AppData\Local\Apple Computer\Safari.. DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고...#C C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? KEY Format : 123.456.789.123 lovelove0618.tistory.com/18 DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고...#A A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? 먼저 2012_Secuwave.....7z파일을 다운받아서 안에 들어있는 파일들을 확인해보았다. 폴더명을 보니 2012-08-27일자의 기록들이 담겨있는 것으� lovelove0618.tistory.com 앞서 작성했던 writes up을 참고해서 보면 -------------------------------해당 부분------------------------------------.. DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고... #B lovelove0618.tistory.com/18 DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고...#A A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? 먼저 2012_Secuwave.....7z파일을 다운받아서 안에 들어있는 파일들을 확인해보았다. 폴더명을 보니 2012-08-27일자의 기록들이 담겨있는 것으� lovelove0618.tistory.com 이어지는 문제. B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) KEY Format : 1234 링크된 문제를 풀면서 답이 나왔었다. ----------------------------- 해당 부분 발췌 -----------------------------.. DigitalForensic with CTF 이벤트 예약 웹사이트를 운영하고...#A A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? 먼저 2012_Secuwave.....7z파일을 다운받아서 안에 들어있는 파일들을 확인해보았다. 폴더명을 보니 2012-08-27일자의 기록들이 담겨있는 것으로 추정된다. accounts 폴더에는 사용자 그룹과 사용자가 입력한 명령어를 기록한 파일 등 사용자 계정과 관련된 파일들이 있으므로 accounts 하위의 history 파일을 열어보았다. cp –r /home/dev/htdocs/* /var/www : /home/dev/htdocs 에 존재하는 모든 파일과 폴더를 /var/www에 복사한다. mysql -u root -p < /home/dev/sqldump.sql : root 권한으로 /home/dev 에 존재하는 sqldump.. 이전 1 2 3 4 다음
