2024 Cyber Apocalypse CTF에서 출제됐던 웹 챌린지 문제다할당된 IP주소로 이동하면 시작 페이지가 뜬다 start 시작하고 HEAD NORTH/SOUTH/EAST/WEST 네 개의 방향 중에 고르면 된다동쪽으로 찍었는데 틀려서 숲 속에서 죽었다 아무거나 고르기 보다는 소스코드를 좀 살펴보자  playwon() 함수가 출력되면 플래그를 찾을 수 있을 것 같은데더 직접적인 단서는 못 찾겠다 main.js 소스코드를 더 살펴보면 경로를 좀 알 수 있다 HEAD NORTH→FOLLOW A MYSTERIOUS PATH→SET UP CAMP이렇게 가보자  SET UP CAMP 까지는 도달했는데 그 이후에는 또 죽었다개발자 도구에서는 더 이상 힌트가 없으니 burpsuite의 HTTP history..

Brutus 이번 랩은 리눅스 로그 분석, DFIR에 대해 다뤄볼 예정이고 블루팀 트랙의 첫 번째 머신이다 Intro to Blue Team 트랙은 Defensive 해커들에게 특화된 머신들을 모아놓은 로드맵임워게임이나 챌린지 대부분이 offensive여서 블루팀인 나에겐 너무 소중하다..  auth.log 로그파일 필드 날짜, 시간HostnameServicePIDUserAuthentication StatusIP 주소, 호스트네임1. Analyze the auth.log. What is the IP address used by the attacker to carry out a brute force attack? 공격자가 브루트 포스 공격에 사용한 Ip 주소를 찾는데 'Failed password'가 연속..

일단 문제 파일을 다운로드받고 실행해보니 패스워드 값에 따라 플래그 출력 여부가 나뉜다파일 종류를 보니까 ELF 형식의 파일이다strings [file] 실행파일의 문자열을 출력해보니 누가봐도 패스워드처럼 보이는 문자열이 있다  입력하니 성공적으로 플래그를 찾음 근데 문제를 풀 수 있는 방법이 하나 더 있다바로 ltrace 명령어 사용하기!  ltrace로 패스워드 test를 입력했을때 어떤 과정을 거치는지를 볼 수 있다strcmp 비교하는 함수가 등장하고, test 단어와 s3cr3t ~ 문자열을 비교하므로 이게 패스워드임을 알 수 있다 생각보다 너무 간단하게 풀어서 머쓱하다..

이번에는 실시간 이벤트 뿐만 아니라 엔드포인트 로깅을 보고 여러 엔드포인트에서의 이벤트들을 살펴보고비정상 징후 탐지, 이벤트 수집에 대해 알아보자 Windows Event LogWindows 이벤트 로그는 윈도우 API를 사용해서 XML 형식으로 변환한 raw 데이터다. 이 로그파일의 이벤트들은 .evt .evtx 확장자로 바이너리 포맷으로 저장되며 .evtx 파일은 C:\Windows\System32\winevt\Logs 경로에 위치함이벤트 로그를 살펴볼려면 세 가지 방법을 사용하면 된다Event Viewer(GUI)Wevtutil.exe(CLI)Get-WinEvent(Powershell cmdlet)두 번째 방법을 사용해서 로그를 살펴보자wevtutil gl System /f:xml 시스템 로그 구성..

Endpoint 엔드포인트란?데이터 통신을 위한 네트워크 연결에 사용되는 물리적 혹은 가상 디바이스 Core Windows Processes  core windows processes를 알기 전에 Task Manager의 윈도우 프로세스를 알아보자Task Manager(작업 관리자)는 윈도우의 빌트인 유틸리티이고 윈도우에서 실행 중인 프로세스와 사용 중인 자원(CPU, 메모리)을 확인할 수 있다.> 기호는 프로세스의 부모-자식 관계를 나타냄. 예를 들면 Systme > smss.exe Sysinternals이번엔 윈도우의 백그라운드에서 실행 중인 아티팩트를 분석해 보자, Sysinternals은 70개 이상의 윈도우 기반 툴의 모음이다. 각 기능들은 아래의 카테고리로 분류할 수 있음File and Dis..

이번 juicy details 룸은 공격이 발생한 네트워크 로그 파일을 분석해서공격자가 사용한 기술과 툴, 취약한 엔드포인트, 액세스 된/탈취된 중요 데이터를 파악하면 된다첨부된 로그 파일을 분석해서 알아보자Reconnaissance1. What tools did the attacker use? (Order by the occurrence in the log)  공격자가 사용한 툴을 찾는 문제다. 로그 목록이 엄청 길긴 하지만 Nmap, Hydra, sqlmap 등 툴 이름을 찾을 수 있었다: nmap, hydra, sqlmap, curl, feroxbuster 2. What endpoint was vulnerable to a brute-force attack? brute force 공격에 취약한 엔드포..