728x90
반응형
(A~C번 문제파일 : 2012_Secuwave F100.7z)
이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오.
A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?
Key format: (yyyy-MM-dd_hh:mm:ss)
B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수)
KEY Format : 1234
C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?
KEY Format : 123.456.789.123
-
압축해제
-
history 파일에서 /var/www/upload/editor/image 폴더의 권한을 777로 수정하는 것을 확인
-
ps_aef 파일에서 /var/www/upload/editor/image 경로에 reverse.php 파일을 실행시키는 것을 확인 ,
-
부모 프로세스 ID는 5244
-
자식 프로세스 ID는 5245
-
프로세스 아이디를 통해 lsof 파일에서 공격자 IP주소 확인
-
access log 를 통해 reverse.php 를 실행시킨 시간을 확인 가능
-
cmd로 grep 하여 'cmd=' 뒤의 문자열을 base64로 디코딩
-
echo 문자열 | base64 --decode
[[25/Aug/2012:17:26:40 +0900]
A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?
KEY Format : 2012-08-25_17:26:40
B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수)
KEY Format : 5244
C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?
KET Format : 144.206.162.21
반응형
'DFIR > Challenge' 카테고리의 다른 글
디지털포렌식 with CTF - [DISK Forensic] 06 (0) | 2020.01.15 |
---|---|
디지털포렌식 with CTF - [DISK Forensic] 07 (0) | 2020.01.15 |
디지털포렌식 with CTF - [Disk Forensic] 09 (0) | 2020.01.10 |
디지털포렌식 with CTF - [DISK Forensic] 10 (0) | 2020.01.10 |
디지털포렌식 with CTF - [DISK Forensic] 11 (0) | 2020.01.10 |