kevin의 정보보안 블로그 kevin의 정보보안 블로그

날아다니는 문자열들을 멈춰서 전체 문자열을 알아내 FLAG를 찾는 문제다. 문제 서버에 접속하면 아래와 같이 엄청 작은 크기의 문자열들이 날아다니고 있다.  [문제 풀이]1. F12를 눌러 개발자 도구 열기 2. Sources 탭에서 코드 확인 시 Img 파일들이 나열된 것을 확인 가능하다. 3. 똑같이 Sources 탭에서 해당 이미지 리소스들을 확인 가능하다. 4. 위 이미지 리소스들이 코드에 적힌 순서대로 값들을 확인하여 조합시 FLAG 획득 가능하다.

알맞은 Input 값을 입력하고 Flag를 획득하는 문제다. 문제 풀이 페이지에 접속하면 아래와 같은 화면을 볼 수 있다. 문제 풀이를 위해 문제 파일을 다운로드 후 분석한다. [문제 파일]1. 문제 파일에 존재하는 check.php 확인 시 아래와 같은 조건을 확인 할 수 있다. 2. Input1과 Input2에 대한 조건을 정리하면 아래와 같다. 3. php에서는 아래와 같이 비교를 한다.숫자 대 숫자 : 숫자로 비교문자 대 숫자 : 숫자로 비교(문자열을 숫자로 변환 후 비교)이때 앞부분에서 숫자를 읽어오며 앞부분에 숫자가 없을경우에는 0으로 변환한다.문자 대 문자 : 문자로 비교(사전식) 4. 위 내용 및 ASCII 값 테이블을 참고하여 값을 작성한다. 여기서 7.@는 ASCII 값으로 55 46 ..

2단계로 이루어진 문제이며 첫번째 단계에서는 알맞은 Nickname과 Password를 입력하여 두번째 단계로 넘어간 후 System() 함수를 이용하여 FLAG를 획득하는 문제이다. [문제 풀이]1. 문제 파일을 다운로드 하여 분석 할 시 눈에 띄는 조건이 있는것을 확인 가능하다. 위 조건들은 아래와 같다.패스워드에 알파벳 입력 금지Nickname에 대소문자 관계없이 nyang 문자열 존재 시 공백으로 치환Password에 숫자, @, 2~3개의 숫자, 31, 0~8에 해당 하지 않는 숫자, !가 포함될 시 d4yor50ng으로 치환 2. 조건문에 알맞은 Nickname과 Password가 명시되어 있기에 위의 조건들을 잘 우회해서 입력해야 한다. 3. 우선 Nickname에서 dnyang0310을 입..

굉장히 간단한 문제로 문제 파일을 다운로드 후 개발자 도구의 Sources 탭을 이용하여 플래그를 찾는 문제이다. [문제 풀이]1. 문제파일 다운로드 후 index.html 실행 2. F12 눌러 개발자 도구 실행 3. Sources 탭에서 플래그 형식을 참고하여 플래그 찾기- 모든 파일들을 자세히 보면 찾을 수 있다- 플래그 형식은 주어지기에 이를 참고하여 찾기 기능을 이용하여 찾으면 된다.

1. 이론1.1 악성 문서 파일의 일반적인 구성 요소악성 문서 파일은 일반적으로 익스플로잇, 쉘코드, 스크립트, 실행파일 등의 악성개체를 포함이러한 악성 개체를 포함해야 하는 악성 문서 파일들의 특성상 이상 징후 식별이 가능악성 문서 파일의 목표 중 하나는 쉘코드를 찾는 것이다익스플로잇을 찾는 것이 중점이 아님. 익스플로잇은 취약점을 이용하여 쉘코드를 실행시키는데 사용되는 도구일 뿐 공격자의 의도를 이해하기 위해선 쉘코드를 얻어 분석해야 함 1.2 악성 문서 파일 분석 절차파일의 포맷 확인악성징후 식별악성개체 식별 및 추출악성개체의 기능 분석여기서 분석 대상은 쉘코드, 스크립트, 실행파일(PE 파일)일 수 있음분석의 목표는 IOC 추출 1.3 악성 MS 오피스 문서 파일 트리아지를 위한 징후매크로를 포함..

1. 악성 HWP 문서 분석1.1 HWP 트라이지를 위한 징후OLE 스트림을 포함하고 있고 실행 파일을 포함하고 있는 스트림이 존재하면 악성 가능성 높음BinData 스토리지에 OLE 확장자를 가지고 있는 스트림이 존재하는지 확인HWP 파일의 압축을 푼 후 패턴 매칭을 활용해 실행 파일을 포함하고 있는 스트림이 존재하는지 확인포스트 스크립트를 포함하고 있는 스트림이 존재하면 악성일 가능성이 높음포스트 스크립트를 인터프립트 하기 위해 고스트 스크립트가 필요한글 파일에는 이러한 고스트 스크립트가 내장되어 있음PS 또는 EPS 확장자를 가지고 있는 스트림이 존재하는지 확인스트림 내용을 확인하여 정상적인 포스트 스크립트인지 확인동일한 내용의 스트림이 다수 존재하는 경우 악성일 가능성 높음동일한 사이즈의 스트림이..

1. 실습   Strings 툴을 이용해 쉘코드 내 존재하는 길이가 3보다 긴 문자열들을 추출하여 쉘코드가 어떤 동작을 하는 지 유추한다. 이후 scdbg.exe 툴을 이용하여 해당 쉘코드를 실제로 에뮬레이트 한다.  여기서 주의 해야할 점이 있다. scdbg.exe는 만능이 아니다.쉘코드에는 실행되기 위한 조건이 붙는다. 보통 쉘코드는 삽입된 악성문서 등에서 실행된다.하지만 우리가 실행하는 코드는 해당 악성문서 등에서 쉘코드를 추출해서 에뮬레티어 또는 가상 환경에서 따로 실행하는 것이기에 조건이 충족되지 않아 실행 불가 할 수도 있다.이러한 이유 때문에 최근 추출한느 쉘코드들은 scdbg를 이용해 API 동적 분석이 어렵다.그렇기에 분석을 진행하려면 디버거에서 쉘코드가 동작하기 위한 컨디션 체크 루틴을..

1. 실습 매치된 값들이 실제 쉘코드 어떤 부분에 위치해 있는지 분석한다.  analyzeme-sc01.01.bin 파일을 IDA를 이용하여 오픈한다. 이렇게 오픈한 파일은 IDA 입장에서는 현재 어떤 형태인지 모르기에 변환을 해줄 필요가 있다. Edit>Code 또는 단축키 C를 눌러 어셈블리어로 변환한다.   Hex View에서 매칭된 API 해시값을 검색해보려 했지만 검색 기능을 지원하지 않는다. 그렇기에 기타 Hex Editor를 사용하여 다시 한번 분석대상 파일을 오픈한다.   HexEditor를 이용하여 YARA룰에 의해 매칭된 API 해시들이 실제로 존재하는 것을 확인했다. 분석 결과(analyzeme-sc01.01.bin) :LoadLibraryA(), VirtualAlloc(), Http..