W@S 2023 CTF Write-up 문제풀이

W@S 2023 CTF 라업 문제 풀이

 

1번 ~ 6번까지의 문제 풀이입니다.

(서술형 문제도 있기 때문에 정답일수도 아닐수도 있습니다)

 

QR 코드 사진을 리더기를 통해 인식하면 ‘aHR0cHM6Ly9uYXZlci5tZS94TTJ1c3luSQ==’ 문자열 출력

해당 문자열이 Base 64 인코딩된 것이라 생각되어 디코딩 (보통 == 로 끝나는 경우 Base 64 인코딩된 문자열이기 때문)

https://naver.me/xM2usynl

-> 해당 링크로 구글에 검색한 결과 ‘한국여성과학기술인육성재단’ 네이버 지도가 나옴

 

---

 

1) 3.39.31.69 직접 접속

-> https://3.39.31.69/ 인터랩 웹 사이트 주소(https://interlab.or.kr/)

Interlab 인터랩 | Between Technology and Society

2) OSINT 활용 (https://ipinfo.io/3.39.31.69 / KISA WHOIS 검색)

-> 호스트 명 : ec2-3-39-31-69.ap-northeast-2.compute.amazonaws.com

도메인이 amazon.com 인 것을 확인 가능 / 서울 리전(AWS Asia Pacific (Seoul) Region)

 

* Passive Scanning 공부 필요

 

---

 

헤더 및 원본내용 파일링크로 들어가 확인 필요

 

1) 피싱 이메일 여부 : O

2) 피싱 이메일 사유 : ‘daemon@maryknoll.localdomain의 도메인이 허용된 보낸 사람 호스트를 지정하지 않음’ -> 즉, 공격자가 본인의 주소를 숨김

3) 공격자 : daemon@maryknoll.localdomain (IP 주소 : 218.154.164.104)

4) 어떤 악성 파일 또는 링크가 삽입되어 있는지 : ‘비정상적인 쿠기 모두 삭제 >’ 를 누르면 해당 링크로 이동하게 만듦

해당링크: http://www.udcontest.com/bbs/login/verify.php?lxne=71b1x35&nh6p=51frgzmuk&2um6y=zzh&13ka1pkl=QwFMHwMREQNSBgELdgQEQQsDWRUVFFBQCRIaWFcLVhgUBVsWFhFQCUQeQgRYWQ8HEgRXMj9qJk8PWg8XQ0gfAx8eREcPVFpdAFNVA1s&3x7p1qcpt=7nqwvzyv9gbn6je&vb9b4ft0qf=cAUDEgFDSxB9ISUZRRwB

참고 링크) https://www.linux.co.kr/bbs/board.php?bo_table=lecture&wr_id=3235 

 

---

 

Wireshark pcap 파일을 다운로드 받아 확인 가능

 

1) 공격자 : 192.168.56.101

2) 공격정황 : 서비스 거부 공격으로 추정 -> TCP 프로토콜 내 ‘Dup ACK’ , ‘Retransmission’, ‘Out-of-Order’ 패킷 확인

 

* Dup ACK : 출발지(192.168.56.101)에서 많은 양의 데이터를 요청해서 목적지(192.168.56.1)에서 세그먼트 순서를 다르게 받아들임

* Retransmission : Dup ACK 실패 시 TCP 패킷 재전송을 요구하여 발생함

* Out-of-Order : 목적지까지 데이터를 전송하는 도중에 새 경로로 전송되는 경우에 발생함

(출처 : https://blog.innern.net/69)

 

-> Wireshark 내 캡처 화면을 보면 ‘Dup ACK’ , ‘Retransmission’, ‘Out-of-Order’ 해당 패킷들은 모두 192.168.56.101(공격)에서 192.168.56.1로 보내는 것을 알 수 있음

 

---

 

 

* 이미지 메타데이터 : 디지털 카메라의 이미지 파일 안에 저장되어 있는 파일 형식 (https://www.sony.co.kr/electronics/support/articles/S500078506)

 

Exitftool 다운로드 (https://exiftool.org/)

exiftool 명령어를 통해 메타 데이터 확인 (exiftool 2.jpg)

 

사용된 카메라(Device Model) : sRGB

정확한 촬영시기(Profile Date Time) : 1998:02:09 06:49:00

 

---

 

 

any.run 사이트 내 Process Graph 확인

감염된 과정에서 불러온 파일 이름 : server.exe

감염된 과정에서 불러온 파일 위치 : C:\Users\admin\AppData\Local\Temp\server.exe

 

참고 링크) https://malwareanalysis.tistory.com/73