반응형
서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다.
KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.)
파일 확인(7z)
압축해제 후 user 폴더 확인
지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인
|
브라우저
|
데이터 저장 경로
|
| IE(Internet Explorer) |
C:\users\사용자\AppData\Roaming\Microsoft\Internet Explorer
|
|
Firefox
|
C:\users\사용자\AppData\Roaming\Mozilla\Firefox
|
|
Chrome
|
C:\users\사용자\AppData\Roaming\Google\Chrome
|
firefox의 데이터가 저장되는 폴더를 조사하면 아래와 같이 sessionstore.js 파일이 존재 하는 것을 확인할 수있다.
sessionstore.js : firefox 브라우저가 비정상적으로 종료될 때 그 시점의 상태 정보가 저장되는 파일이다. 만약 범인이 firefox를 사용했을 경우를 확인하기 위해 해당 파일의 분석을 진행한다.
-
자바스크립트를 해석해주는 사이트를 활용 (https://jsonlint.com)
-
해당 파일을 편집기 등으로 오픈하여 내용을 복사
-
분석 사이트에 붙여넣기 후 'Validate JSON' 클릭
sessionstore.js 파일의 내부 정보를 확인하면 "1_UNI/**/ON_SELECT" 라는 UNION SELECT 쿼리를 악의적으로 삽입한 것으로 확인.
해당 코드에서 lastUpdate 변수로 브라우저가 종료된 시간 정보가 인코딩되어 저장된 것을 볼 수 있다.
DCODE 프로그램을 사용해서 실제 종료된 시간을 계산해보았다.
KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.)
-> 1_UNI/**/ON_SELECT|2012-02-12T10:23:17
디지털포렌식 with CTF
COUPANG
www.coupang.com
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [NETWORK] chapter01_5 (0) | 2020.01.18 |
|---|---|
| 디지털포렌식 with CTF - [DISK Forensic] 01 (0) | 2020.01.18 |
| 디지털포렌식 with CTF - [DISK Forensic] 03 (0) | 2020.01.17 |
| 디지털포렌식 with CTF - [DISK Forensic] 04 (0) | 2020.01.16 |
| 디지털포렌식 with CTF - [DISK Forensic] 05 (0) | 2020.01.16 |