전체 글218 ftp, sftp, ssh , IEEE 802.11 프로토콜 통신규약 공부 1. FTP 파일 전송 프로토콜 2. sFTP SSH의 파일 전송 버전 -> FTP의 형태를 갖고 있지만, 연결은 SSH를 이용 ssh 방식을 이용해 안전하게 암호화된 구간에서 ftp 기능을 이용할 수 있다. 3. SSH 통신을 할 때 안전하게 통신을 하기 위해 사용하는 프로토콜(보안적으로 안정) 왜냐면 다른 컴퓨터와 통신을 하기 위해 접속을 할 때 우리가 일반적으로 사용하는 비밀번호의 입력을 통한 접속을 하지 않고, 한 쌍의 키를 생성해 접속하려는 컴퓨터와 인증 과정을 거치게 되기 때문 4. IEEE 802.11 무선랜, 와이파이를 위한 무선 네트워크에 사용되는 기술 유선 LAN 형태인 이더넷의 단점을 보완하기 위해 고안된 기술 2020. 11. 23. [N0Named wargame] [B] 유출된 자료 거래 사건[4] 문제를 보면 문서를 하드 어딘가 암호화해두어 숨겨두었다고 한다. 휴지통을 보니 암호화 해둔 것의 비밀번호인 것 같은 텍스트 파일을 찾을 수 있었다. 근데 이 문제에 사용한 이미지 파일이 파티션이 3까지 있는데 2만 사용해서 파티션 3을 사용할 수 있을 까 생각을 해 보니 veracrypt를 사용하면 파티션 자체 암호화도 가능해서 파티션 3을 사용할 수 있을 것 같다. 그래서 파티션 3을 추출하고 veracrypt를 다운로드 받은 뒤에 볼륨을 만들어보았다. 그 과정에서 아까 휴지통에서 봤던 텍스트 파일을 이용할 수 있었다. 볼륨을 다 만든 뒤에 마운트 해준 다음 오른쪽 마우스 클릭으로 Open을 눌러주면 이렇게 새 볼륨 창이 뜨고 plan.txt 를 얻을 수 있었다. 텍스트 파일을 열어보니 flag를 확인.. 2020. 11. 17. [N0Named wargame] [B] 유출된 자료 거래 사건[2] 문제를 보면 해당 USB로 옮겼을 것으로 의심되는 파일을 찾아보자 하면서 파일을 입수한 경로를 찾아보면 찾기 편할 수도 라는 힌트를 주었다. 어느 곳에서 파일을 받은 뒤에 USB로 옮겼을 것으로 추측해보면 인터넷이나 메일로 파일을 받은 것을 생각해볼 수 있을 것 같다. FTK imager로 파일을 받을 만한 경로를 생각해보면 이렇게 chrome으로 다운로드 기록이 남을 수 있다. History 파일을 추출해서 DB Browser for SQLite로 열어보면 이렇게 다운로드 받은 기록이 뜨게 되는데 , 그 중에서도 Confidential_Doc 파일이 눈에 띈다. 이 파일을 한번 찾아보자 하지만 이미 삭제한 파일이기 때문에 FTK imager 안에서는 찾을 수 없었다. 그래서 파일 시스템 로그를 분석하기.. 2020. 11. 17. [N0Named wargame] [B] 유출된 자료 거래 사건[3] 문제를 보면 구매자의 집에 동거자를 알아내는 것이다. 계정이 삭제된 시각을 알아내야 하므로 윈도우 로그인 기록을 확인하면 계정 삭제 기록도 볼 수 있을 것 같다. 구글링 결과 윈도우 로그인 기록은 이벤트 뷰어를 통해 확인할 수 있다. Windows - System32에 들어가면 확장자가 evtx인 다양한 파일을 볼 수 있다. 그 중에서도 Security.evtx 가 사용자 계정 정보를 확인할 수 있는 이벤트 로그이다. 그 파일만 추출해 보면 많은 로그인 기록들을 확인할 수 있는데, 그 중에서도 이벤트 ID가 4726인 것이 사용자 계정 삭제를 가르키는 ID라고 한다. 밑의 설명을 보면 사용자 계정을 삭제했습니다와 함께 계정 이름을 확인할 수 있다. 성공! 2020. 11. 17. [N0Named wargame] infect 문제를 보면 악성 프로그램을 찾아 파일명과 실행시각을 알아내라고 한다. 악성프로그램은 결국 실행되어야 하니까 확장자가 exe인 것을 유의깊게 봐야겠다. 첨부파일을 다운로드 받아보면 ad1파일과 텍스트 파일이 하나 들어있다. 우선 ad1파일을 FTK imager을 사용해 열어보자 일단 파일을 열어서 유저의 바탕화면에 들어가보니, 의미 없는 data2.encrypted 파일과 그 밑에 VboxTester.exe 파일이 보인다. data2.encrypted 파일의 시간을 바탕으로 윈도우 pf 파일을 찾아보면 flag를 찾을 수도 있을 것 같다는 생각이 들었다. data2.encrypted 파일의 시간은 20년 10월 28일 오후 2시 14분 9초인데, 그때 pf 파일은 두 개가 생성되었다. 하나는 CMD,EX.. 2020. 11. 17. [N0Named wargame] [A] 수상한 메일 문제는 위와 같다. 문제 파일을 열어보자 zip 파일에 파일들이 있다. 메일내용.txt 파일과 제출용.hwp가 보인다. 메일내용 텍스트 파일에는 제출용.hwp를 열어 정보 기입 후 파일을 회신해달라고 써있어서 한글 파일을 열어보았다. 스크립트 코드가 포함되어 있다는 알림 창이 뜨는데, 매크로 스크립트가 삽입된 한글 문서를 열 때 뜨는 알림 창이다. 취소를 누르고 스크립트를 살펴보자 한글 2018 기준으로 도구 - 스크립트 매크로 - 매크로 실행 - 코드 편집으로 스크립트를 살펴볼 수 있다. 이후 항목을 Document로 바꿔서 보면 파워 쉘을 이용한 악성 스크립트를 실행하게 되어 있는 것을 볼 수 있다. (오른쪽 캡쳐화면 try 부분) Base 64로 인코딩 해본 결과 flag를 찾기 위한 남은 과정이 .. 2020. 11. 17. 이전 1 ··· 23 24 25 26 27 28 29 ··· 37 다음 728x90
