SlideShare a Scribd company logo

SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)

Sehan Lee
Sehan Lee

SECCON 2016 Online CTF Write-Up - Memory Analysis (Forensics 100points) - Korean version.

Software
1 of 11
Download to read offline
SECCON 2016 Online CTF Write-Up - Memory Analysis (Forensics 100points) - by Alchemic (KoreaTech 이세한)
2 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 다음과 같은 문제가 주어집니다. 가짜 svchost 로 인하여 접속되는 사이트를 찾아서, 그 사이트에 접속을 하면 플래그를 얻을 수 있다고 설명합니다.
3 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 문제 파일을 다운로드 받으면 위 그림과 같은 압축 파일로 받아지고, 압축을 해제하면 [forensic_100.raw] 이미지 파일을 얻을 수 있습니다. 이제 이 파일을 포렌식 툴 중 하나인 [Volatility Tool]을 이용하여 조사해보면 됩니다.
4 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] [Volatility Tool] 을 이용하여 먼저 이 이미지파일이 어떤 파일인지 정보를 보기 위해 “imageinfo” 명령어를 이용하여 살펴보았습니다. 위 그림과 같이 Windows XP 환경의 이미지 파일임을 확인할 수 있습니다.
5 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] “pstree” 명령어로 프로세스 트리를 확인하면 svchost 중 인터넷 연결이 되는 의심스러운 svchost.exe 파일을 발견할 수 있습니다. (빨간색 박스 표시)
6 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 의심이 갔던 “svchost.exe” 프로세스를 덤프를 해서 살펴보기 위해 “procdump” 명령어를 이용하여 덤프를 합니다. 덤프를 한 파일을 조사해보면 위 그림과 같이 의심스러운 사이트 주소가 나타나게 됩니다. “C:program FilesInternet Exploreriexplorer.exe http://crattack.tistory.com/entry/ Data-Science-import-pandas-as-pd”
7 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 의심스러운 사이트 주소를 알아냈으니 이 주소의 IP 주소를 확인해보면 “175.126.170.110” 이라는 주소를 알아낼 수 있습니다. 하지만 실제 연결된 IP 주소가 다른 것을 확인할 수 있습니다. (153.127.200.178) 이를 통해 도메인 관련 변조가 있을 것이라는 추측을 할 수 있습니다.
8 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 처음 문제에 제시되어있던 두 번째 힌트인 “Check the hosts file”을 참고하여 hosts 파일을 조사해보도록 하겠습니다. 이로써 도메인 관련 변조를 확인하였으며 “153.127.200.178”로 연결이 된 것을 확인할 수 있습니다.
9 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 앞서 확인한 IP 주소와 앞서 확인한 사이트 주소를 잘 조합하여 확인해보면 플래그 값을 얻을 수 있습니다. crattack.tistory.com  175.126.170.110 hosts 확인 결과, 153.127.200.178  crattack.tistory.com 변조가 되었으므로, 플래그(flag) 값을 얻기 위해서는 변조된 주소인 [http://153.127.200.178/entry/Data-Science-import-pandas-as-pd] 로 접속을 하면 됩니다.
10 The flag is... SECCON{_h3110_w3_h4ve_fun_w4rg4m3_} SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
Thank You! Contact sehands@koreatech.ac.kr

Recommended

BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpBSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpSehan Lee
 
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]Sehan Lee
 
Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Sehan Lee
 
GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)
GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)
GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)Sehan Lee
 
GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)
GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)
GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)Sehan Lee
 
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성Lee Sang-Ho
 
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제Lee Sang-Ho
 
200523 서울여대 BI 코딩실무 강의 자료
200523 서울여대 BI 코딩실무 강의 자료200523 서울여대 BI 코딩실무 강의 자료
200523 서울여대 BI 코딩실무 강의 자료Joohyun Han
 

Recommended

BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpBSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUp
BSides Delhi CTF 2018 [Never Too Late Mister (Forensics 200pts)] WriteUpSehan Lee
 
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]
PlaidCTF 2016 Write-Up [hevc (MISC 50pts)]Sehan Lee
 
Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Mr.Robot CTF Write-Up (Korean version)
Mr.Robot CTF Write-Up (Korean version)Sehan Lee
 
GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)
GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)
GoogleCTF 2016 [No Big Deal] Write-Up (ver.korean)Sehan Lee
 
GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)
GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)
GoogleCTF 2016 [In Recorded Conversation] Write-Up (ver.korean)Sehan Lee
 
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 작성Lee Sang-Ho
 
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제
[방송통신대 컴퓨터과학과] UNIX 시스템 과제물 문제Lee Sang-Ho
 
200523 서울여대 BI 코딩실무 강의 자료
200523 서울여대 BI 코딩실무 강의 자료200523 서울여대 BI 코딩실무 강의 자료
200523 서울여대 BI 코딩실무 강의 자료Joohyun Han
 
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)Sehan Lee
 
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연Joohyun Han
 
Hackerschool FTZ 문제 풀이
Hackerschool FTZ 문제 풀이Hackerschool FTZ 문제 풀이
Hackerschool FTZ 문제 풀이re4lfl0w
 
Exp manager
Exp managerExp manager
Exp managerYoonjae Park
 
Ddd
DddDdd
Ddddooroomi
 
141103 최창원 파이썬 확장 프로그래밍
141103 최창원 파이썬 확장 프로그래밍141103 최창원 파이썬 확장 프로그래밍
141103 최창원 파이썬 확장 프로그래밍Changwon Choe
 
Linux+정리
Linux+정리Linux+정리
Linux+정리chang yong yang
 
[Kerference] 시작! 리버싱 - 김종범(KERT)
[Kerference] 시작! 리버싱 - 김종범(KERT)[Kerference] 시작! 리버싱 - 김종범(KERT)
[Kerference] 시작! 리버싱 - 김종범(KERT)NAVER D2
 
루팅(Rooting)에 관해
루팅(Rooting)에 관해루팅(Rooting)에 관해
루팅(Rooting)에 관해Youngbin Han
 
네트워크 공격 실습 보고서
네트워크 공격 실습 보고서네트워크 공격 실습 보고서
네트워크 공격 실습 보고서Dong-Jin Park
 
UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제Lee Sang-Ho
 
성미급한 사람들을 위한 아파치 설치
성미급한 사람들을 위한 아파치 설치성미급한 사람들을 위한 아파치 설치
성미급한 사람들을 위한 아파치 설치경민 남
 
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형Minchul Jung
 
robot.txt와 meta tag를 이용한 크롤링 설정
robot.txt와 meta tag를 이용한 크롤링 설정robot.txt와 meta tag를 이용한 크롤링 설정
robot.txt와 meta tag를 이용한 크롤링 설정Yoonsung Jung
 
20180320 python3 async_io
20180320 python3 async_io20180320 python3 async_io
20180320 python3 async_ioJae Hong Park
 
Buffer Overflow PPT (OneTwo)
Buffer Overflow PPT (OneTwo)Buffer Overflow PPT (OneTwo)
Buffer Overflow PPT (OneTwo)one_two_12
 
[2017 Incognito] 시스템 해킹 기법 정리
[2017 Incognito] 시스템 해킹 기법 정리[2017 Incognito] 시스템 해킹 기법 정리
[2017 Incognito] 시스템 해킹 기법 정리NAVER D2
 
Binary exploitation - AIS3
Binary exploitation - AIS3Binary exploitation - AIS3
Binary exploitation - AIS3Angel Boy
 
Bug hunting through_reverse_engineering
Bug hunting through_reverse_engineeringBug hunting through_reverse_engineering
Bug hunting through_reverse_engineeringarif
 
Glibc malloc internal
Glibc malloc internalGlibc malloc internal
Glibc malloc internalMotohiro KOSAKI
 
Advanced heap exploitaion
Advanced heap exploitaionAdvanced heap exploitaion
Advanced heap exploitaionAngel Boy
 
Heap exploitation
Heap exploitationHeap exploitation
Heap exploitationAngel Boy
 

More Related Content

What's hot

GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)Sehan Lee
 
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연Joohyun Han
 
Hackerschool FTZ 문제 풀이
Hackerschool FTZ 문제 풀이Hackerschool FTZ 문제 풀이
Hackerschool FTZ 문제 풀이re4lfl0w
 
141103 최창원 파이썬 확장 프로그래밍
141103 최창원 파이썬 확장 프로그래밍141103 최창원 파이썬 확장 프로그래밍
141103 최창원 파이썬 확장 프로그래밍Changwon Choe
 
[Kerference] 시작! 리버싱 - 김종범(KERT)
[Kerference] 시작! 리버싱 - 김종범(KERT)[Kerference] 시작! 리버싱 - 김종범(KERT)
[Kerference] 시작! 리버싱 - 김종범(KERT)NAVER D2
 
루팅(Rooting)에 관해
루팅(Rooting)에 관해루팅(Rooting)에 관해
루팅(Rooting)에 관해Youngbin Han
 
네트워크 공격 실습 보고서
네트워크 공격 실습 보고서네트워크 공격 실습 보고서
네트워크 공격 실습 보고서Dong-Jin Park
 
UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제Lee Sang-Ho
 
성미급한 사람들을 위한 아파치 설치
성미급한 사람들을 위한 아파치 설치성미급한 사람들을 위한 아파치 설치
성미급한 사람들을 위한 아파치 설치경민 남
 
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형Minchul Jung
 
robot.txt와 meta tag를 이용한 크롤링 설정
robot.txt와 meta tag를 이용한 크롤링 설정robot.txt와 meta tag를 이용한 크롤링 설정
robot.txt와 meta tag를 이용한 크롤링 설정Yoonsung Jung
 
20180320 python3 async_io
20180320 python3 async_io20180320 python3 async_io
20180320 python3 async_ioJae Hong Park
 
Buffer Overflow PPT (OneTwo)
Buffer Overflow PPT (OneTwo)Buffer Overflow PPT (OneTwo)
Buffer Overflow PPT (OneTwo)one_two_12
 
[2017 Incognito] 시스템 해킹 기법 정리
[2017 Incognito] 시스템 해킹 기법 정리[2017 Incognito] 시스템 해킹 기법 정리
[2017 Incognito] 시스템 해킹 기법 정리NAVER D2
 

What's hot (17)

GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
GoogleCTF 2016 [Ernst Echidna] Write-Up (ver.korean)
 
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
200725 AWS 클라우드 컴퓨팅으로 배우는 생물정보학 - 덕성여대 강연
 
Hackerschool FTZ 문제 풀이
Hackerschool FTZ 문제 풀이Hackerschool FTZ 문제 풀이
Hackerschool FTZ 문제 풀이
 
Exp manager
Exp managerExp manager
Exp manager
 
Ddd
DddDdd
Ddd
 
141103 최창원 파이썬 확장 프로그래밍
141103 최창원 파이썬 확장 프로그래밍141103 최창원 파이썬 확장 프로그래밍
141103 최창원 파이썬 확장 프로그래밍
 
Linux+정리
Linux+정리Linux+정리
Linux+정리
 
[Kerference] 시작! 리버싱 - 김종범(KERT)
[Kerference] 시작! 리버싱 - 김종범(KERT)[Kerference] 시작! 리버싱 - 김종범(KERT)
[Kerference] 시작! 리버싱 - 김종범(KERT)
 
루팅(Rooting)에 관해
루팅(Rooting)에 관해루팅(Rooting)에 관해
루팅(Rooting)에 관해
 
네트워크 공격 실습 보고서
네트워크 공격 실습 보고서네트워크 공격 실습 보고서
네트워크 공격 실습 보고서
 
UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제
 
성미급한 사람들을 위한 아파치 설치
성미급한 사람들을 위한 아파치 설치성미급한 사람들을 위한 아파치 설치
성미급한 사람들을 위한 아파치 설치
 
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
HTTP 완벽 가이드 / 20장 리다이렉션과 부하균형
 
robot.txt와 meta tag를 이용한 크롤링 설정
robot.txt와 meta tag를 이용한 크롤링 설정robot.txt와 meta tag를 이용한 크롤링 설정
robot.txt와 meta tag를 이용한 크롤링 설정
 
20180320 python3 async_io
20180320 python3 async_io20180320 python3 async_io
20180320 python3 async_io
 
Buffer Overflow PPT (OneTwo)
Buffer Overflow PPT (OneTwo)Buffer Overflow PPT (OneTwo)
Buffer Overflow PPT (OneTwo)
 
[2017 Incognito] 시스템 해킹 기법 정리
[2017 Incognito] 시스템 해킹 기법 정리[2017 Incognito] 시스템 해킹 기법 정리
[2017 Incognito] 시스템 해킹 기법 정리
 

Viewers also liked

Binary exploitation - AIS3
Binary exploitation - AIS3Binary exploitation - AIS3
Binary exploitation - AIS3Angel Boy
 
Bug hunting through_reverse_engineering
Bug hunting through_reverse_engineeringBug hunting through_reverse_engineering
Bug hunting through_reverse_engineeringarif
 
Advanced heap exploitaion
Advanced heap exploitaionAdvanced heap exploitaion
Advanced heap exploitaionAngel Boy
 
Heap exploitation
Heap exploitationHeap exploitation
Heap exploitationAngel Boy
 
Sigreturn Oriented Programming
Sigreturn Oriented ProgrammingSigreturn Oriented Programming
Sigreturn Oriented ProgrammingAngel Boy
 
Play with FILE Structure - Yet Another Binary Exploit Technique
Play with FILE Structure - Yet Another Binary Exploit TechniquePlay with FILE Structure - Yet Another Binary Exploit Technique
Play with FILE Structure - Yet Another Binary Exploit TechniqueAngel Boy
 
Introduction to Reverse Engineering
Introduction to Reverse EngineeringIntroduction to Reverse Engineering
Introduction to Reverse EngineeringDobromir Enchev
 
Reverse engineering
Reverse engineeringReverse engineering
Reverse engineeringYuffie Valen
 
Introduction to Reverse Engineering
Introduction to Reverse EngineeringIntroduction to Reverse Engineering
Introduction to Reverse EngineeringGopinath Chintala
 
Reverse Engineering
Reverse EngineeringReverse Engineering
Reverse Engineeringdswanson
 
Reverse engineering & its application
Reverse engineering & its applicationReverse engineering & its application
Reverse engineering & its applicationmapqrs
 
Reverse engineering
Reverse engineeringReverse engineering
Reverse engineeringananya0122
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017Carol Smith
 

Viewers also liked (15)

Binary exploitation - AIS3
Binary exploitation - AIS3Binary exploitation - AIS3
Binary exploitation - AIS3
 
Bug hunting through_reverse_engineering
Bug hunting through_reverse_engineeringBug hunting through_reverse_engineering
Bug hunting through_reverse_engineering
 
Glibc malloc internal
Glibc malloc internalGlibc malloc internal
Glibc malloc internal
 
Advanced heap exploitaion
Advanced heap exploitaionAdvanced heap exploitaion
Advanced heap exploitaion
 
Heap exploitation
Heap exploitationHeap exploitation
Heap exploitation
 
Sigreturn Oriented Programming
Sigreturn Oriented ProgrammingSigreturn Oriented Programming
Sigreturn Oriented Programming
 
Play with FILE Structure - Yet Another Binary Exploit Technique
Play with FILE Structure - Yet Another Binary Exploit TechniquePlay with FILE Structure - Yet Another Binary Exploit Technique
Play with FILE Structure - Yet Another Binary Exploit Technique
 
Reverse engineering
Reverse engineeringReverse engineering
Reverse engineering
 
Introduction to Reverse Engineering
Introduction to Reverse EngineeringIntroduction to Reverse Engineering
Introduction to Reverse Engineering
 
Reverse engineering
Reverse engineeringReverse engineering
Reverse engineering
 
Introduction to Reverse Engineering
Introduction to Reverse EngineeringIntroduction to Reverse Engineering
Introduction to Reverse Engineering
 
Reverse Engineering
Reverse EngineeringReverse Engineering
Reverse Engineering
 
Reverse engineering & its application
Reverse engineering & its applicationReverse engineering & its application
Reverse engineering & its application
 
Reverse engineering
Reverse engineeringReverse engineering
Reverse engineering
 
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
 

Similar to SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)

(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
(130330) #fitalk codegate 2013 write-ups
(130330) #fitalk codegate 2013 write-ups(130330) #fitalk codegate 2013 write-ups
(130330) #fitalk codegate 2013 write-upsINSIGHT FORENSIC
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
개발사는 모르는 퍼블리셔의 뒷 이야기
개발사는 모르는 퍼블리셔의 뒷 이야기개발사는 모르는 퍼블리셔의 뒷 이야기
개발사는 모르는 퍼블리셔의 뒷 이야기David Kim
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 
리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리Seungyong Lee
 
Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detectionIlsun Choi
 
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital ForensicDonghyun Kim
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
셸 스크립트를 이용한 클라우드 시스템 운영
셸 스크립트를 이용한 클라우드 시스템 운영셸 스크립트를 이용한 클라우드 시스템 운영
셸 스크립트를 이용한 클라우드 시스템 운영Nalee Jang
 
Malware Traffic analysis
Malware Traffic analysisMalware Traffic analysis
Malware Traffic analysisfromitive
 
[무료] 시스템해킹(해커스쿨문제풀이) 공개버전
[무료] 시스템해킹(해커스쿨문제풀이) 공개버전[무료] 시스템해킹(해커스쿨문제풀이) 공개버전
[무료] 시스템해킹(해커스쿨문제풀이) 공개버전James (SeokHun) Hwang
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)Sehan Lee
 
광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx
광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx
광안 1반 2팀 엠퀴즈 최종 발표 자료.pptxYeongKiKim1
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅종빈 오
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 

Similar to SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean) (20)

(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
dddd
dddddddd
dddd
 
(130330) #fitalk codegate 2013 write-ups
(130330) #fitalk codegate 2013 write-ups(130330) #fitalk codegate 2013 write-ups
(130330) #fitalk codegate 2013 write-ups
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
개발사는 모르는 퍼블리셔의 뒷 이야기
개발사는 모르는 퍼블리셔의 뒷 이야기개발사는 모르는 퍼블리셔의 뒷 이야기
개발사는 모르는 퍼블리셔의 뒷 이야기
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리
 
Log parser&webshell detection
Log parser&webshell detectionLog parser&webshell detection
Log parser&webshell detection
 
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
[PyCon KR 2018] 진실은 언제나 하나! : Python으로 만나보는 Digital Forensic
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
셸 스크립트를 이용한 클라우드 시스템 운영
셸 스크립트를 이용한 클라우드 시스템 운영셸 스크립트를 이용한 클라우드 시스템 운영
셸 스크립트를 이용한 클라우드 시스템 운영
 
Malware Traffic analysis
Malware Traffic analysisMalware Traffic analysis
Malware Traffic analysis
 
[무료] 시스템해킹(해커스쿨문제풀이) 공개버전
[무료] 시스템해킹(해커스쿨문제풀이) 공개버전[무료] 시스템해킹(해커스쿨문제풀이) 공개버전
[무료] 시스템해킹(해커스쿨문제풀이) 공개버전
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
 
레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)
 
광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx
광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx
광안 1반 2팀 엠퀴즈 최종 발표 자료.pptx
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅[실전 윈도우 디버깅] 13 포스트모템 디버깅
[실전 윈도우 디버깅] 13 포스트모템 디버깅
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 

More from Sehan Lee

BSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUpBSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUpSehan Lee
 
BSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUpBSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUpSehan Lee
 
BSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUp
BSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUpBSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUp
BSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUpSehan Lee
 
Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]
Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]
Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]Sehan Lee
 
Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...
Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...
Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...Sehan Lee
 
GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)
GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)
GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)Sehan Lee
 
Attacking Session Management
Attacking Session ManagementAttacking Session Management
Attacking Session ManagementSehan Lee
 
Web Application Technologies
Web Application TechnologiesWeb Application Technologies
Web Application TechnologiesSehan Lee
 
Packet Tracer를 이용한 OSPF 설정
Packet Tracer를 이용한 OSPF 설정Packet Tracer를 이용한 OSPF 설정
Packet Tracer를 이용한 OSPF 설정Sehan Lee
 
Packet tracer 설치 및 사용법
Packet tracer 설치 및 사용법Packet tracer 설치 및 사용법
Packet tracer 설치 및 사용법Sehan Lee
 

More from Sehan Lee (10)

BSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUpBSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [st4t1c (Reversing 200pts)] WriteUp
 
BSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUpBSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUp
BSides Delhi CTF 2018 [krev (Reversing 200pts)] WriteUp
 
BSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUp
BSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUpBSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUp
BSides Delhi CTF 2018 [avap (Reversing 75pts)] WriteUp
 
Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]
Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]
Plaid CTF 2017 Write-Up [zipper (MISC 50pts)]
 
Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...
Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...
Basic My SQL Problems(sqlzoo.net - select from world) & Basic SQL Injection(z...
 
GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)
GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)
GoogleCTF 2016 [Wallowing Wallabies - Part One] Write-Up (ver.korean)
 
Attacking Session Management
Attacking Session ManagementAttacking Session Management
Attacking Session Management
 
Web Application Technologies
Web Application TechnologiesWeb Application Technologies
Web Application Technologies
 
Packet Tracer를 이용한 OSPF 설정
Packet Tracer를 이용한 OSPF 설정Packet Tracer를 이용한 OSPF 설정
Packet Tracer를 이용한 OSPF 설정
 
Packet tracer 설치 및 사용법
Packet tracer 설치 및 사용법Packet tracer 설치 및 사용법
Packet tracer 설치 및 사용법
 

SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)

  • 1. SECCON 2016 Online CTF Write-Up - Memory Analysis (Forensics 100points) - by Alchemic (KoreaTech 이세한)
  • 2. 2 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 다음과 같은 문제가 주어집니다. 가짜 svchost 로 인하여 접속되는 사이트를 찾아서, 그 사이트에 접속을 하면 플래그를 얻을 수 있다고 설명합니다.
  • 3. 3 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 문제 파일을 다운로드 받으면 위 그림과 같은 압축 파일로 받아지고, 압축을 해제하면 [forensic_100.raw] 이미지 파일을 얻을 수 있습니다. 이제 이 파일을 포렌식 툴 중 하나인 [Volatility Tool]을 이용하여 조사해보면 됩니다.
  • 4. 4 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] [Volatility Tool] 을 이용하여 먼저 이 이미지파일이 어떤 파일인지 정보를 보기 위해 “imageinfo” 명령어를 이용하여 살펴보았습니다. 위 그림과 같이 Windows XP 환경의 이미지 파일임을 확인할 수 있습니다.
  • 5. 5 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] “pstree” 명령어로 프로세스 트리를 확인하면 svchost 중 인터넷 연결이 되는 의심스러운 svchost.exe 파일을 발견할 수 있습니다. (빨간색 박스 표시)
  • 6. 6 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 의심이 갔던 “svchost.exe” 프로세스를 덤프를 해서 살펴보기 위해 “procdump” 명령어를 이용하여 덤프를 합니다. 덤프를 한 파일을 조사해보면 위 그림과 같이 의심스러운 사이트 주소가 나타나게 됩니다. “C:program FilesInternet Exploreriexplorer.exe http://crattack.tistory.com/entry/ Data-Science-import-pandas-as-pd”
  • 7. 7 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 의심스러운 사이트 주소를 알아냈으니 이 주소의 IP 주소를 확인해보면 “175.126.170.110” 이라는 주소를 알아낼 수 있습니다. 하지만 실제 연결된 IP 주소가 다른 것을 확인할 수 있습니다. (153.127.200.178) 이를 통해 도메인 관련 변조가 있을 것이라는 추측을 할 수 있습니다.
  • 8. 8 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 처음 문제에 제시되어있던 두 번째 힌트인 “Check the hosts file”을 참고하여 hosts 파일을 조사해보도록 하겠습니다. 이로써 도메인 관련 변조를 확인하였으며 “153.127.200.178”로 연결이 된 것을 확인할 수 있습니다.
  • 9. 9 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 앞서 확인한 IP 주소와 앞서 확인한 사이트 주소를 잘 조합하여 확인해보면 플래그 값을 얻을 수 있습니다. crattack.tistory.com  175.126.170.110 hosts 확인 결과, 153.127.200.178  crattack.tistory.com 변조가 되었으므로, 플래그(flag) 값을 얻기 위해서는 변조된 주소인 [http://153.127.200.178/entry/Data-Science-import-pandas-as-pd] 로 접속을 하면 됩니다.
  • 10. 10 The flag is... SECCON{_h3110_w3_h4ve_fun_w4rg4m3_} SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]