본문 바로가기
CTF/Forensic

[CTF-d Disk] 이벤트 예약 웹사이트를 운영하고… #A, B, C

by Jamie Lim 2021. 4. 2.

문제

문제 A : 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?

문제 B : 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수)

문제 C: 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?

 

풀이

 

파일을 살펴보면 아래와 같이 되어 있음을 알 수 있다. 

 

해당 파일 안에는 각각 아래와 같은 파일들이 담겨있다.

accounts : group, history, last_R, lastlog, passwd, shadow, w

file : fls_r_m, macmactime_b

network : arp, lsof, netstat_an

osinfo : date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a

process : crontab, ipcs_u, lsmod, ps_eaf, pstree_a

weblog : access.log

 

 

우선 history 파일부터 살펴보도록 하겠다.

명령어들을 살펴보면 /var/www/upload/editor/image에 777권한을 준 것이 의심스러워 보인다.

 

다음으로는 프로세스 폴더에서 ps_eaf 파일을 살펴보도록 하겠다. 해당 파일에는 모든 프로세스에 대한 정보가 담겨있다.

그리고 우리가 위에서 찾은 /var/www/upload/editor/image와 관련해 있는지 확인한다. 그럼 아래와 같이 두개의 프로세스를 볼 수 있다.

우리는 위의 두 프로세스는 쉘 명령어 옵션이고 가장 아래 명령어가 php  명령어를 실행하는 프로세스인 것을 알 수 있다. 그리고 해당 프로세스는 5245인 것을 확인했다.

 

그리고 네트워크 폴더에서 lsof 파일을 통해 시스템에서 열려있는 파일 목록과 사용중인 프로세스 등 자세한 정보를 확인할 수 있다. 이곳에서 위에서 알아낸 PID 5245를 확인하면 php 명령을 통해 reverse.php 파일을 수행하는 것으로 추측할 수 이싿.

 

내려서 5245 PID에 대한 내용을 살펴보면 다음과 같이 TCP연결을 통해 목적지가 144.206.162.21인 것을 알 수 있고 이가 공격자의 IP일거라고 예상할 수 있다.

 

그리고 weblog 폴더에 access.log 파일을 통해 공격자 IP를 통해 접속이 언제 일어났는지 확인을 한다. 그럼 아래와 같이 /upload/editor/image/로 찾다보니 cmd=을 통해 명령어가 Base64로 인코딩 되어 있음을 볼 수 있다. 다시 디코딩하여 어떤 명령을 하였는지 살펴보도록 하겠다.

bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw%20%20 

=> ls -al  /var/www/upload/editor/image/

 

dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw%20%20 

=> tar -cvf /var/www/upload/editor/image/1330664838 /var/www/

 

cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20 

=> php -f /var/www/upload/editor/image/reverse.php6

 

 

위의 결과를 살펴보면 가장 마지막 명령에서 php -f를 통해 reverse.php 파일을 실행시킨 것을 알 수 있다.

그러므로 공격자가 웹페이지 소스코드를 유출한 시간은 25/Aug/2012:17:26:40 +0900임을 알 수 있다.

 

 

문제 A flag : 2012-08-25_17:26:40    (공격자가 웹페이지 소스코드를 유출한 시간)

문제 B flag : 5245                         (리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID))

문제 C falg : 144.206.162.21            (리버스쉘(Reverse Shell)에 대한공격자 주소(IP))

 

'CTF > Forensic' 카테고리의 다른 글

[CTF-d Multimedia] 우리는 바탕화면 캡처 본을 얻었다.  (0) 2021.04.29
[CTF-d Multimedia] 답을 찾기 위해 돋보기를 써라!  (0) 2021.04.29
[CTF-d Memory] GrrCON 2015 #2  (0) 2021.04.01
[CTF-d Memory] GrrCON 2015 #1  (0) 2021.04.01
[CTF-d Multimedia] 사진 속에서 빨간색이...  (2) 2021.04.01

관련글

댓글

티스토리툴바