kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

DFIR/Challenge

디지털포렌식 with CTF - [DISK Forensic] 02

까마기 2020. 1. 17. 17:09
728x90
반응형
서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다.
 
KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.)
 
파일 확인(7z)
 
압축해제 후 user 폴더 확인
 
지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인
 
 
브라우저
데이터 저장 경로
IE(Internet Explorer)
C:\users\사용자\AppData\Roaming\Microsoft\Internet Explorer
Firefox
C:\users\사용자\AppData\Roaming\Mozilla\Firefox
Chrome
C:\users\사용자\AppData\Roaming\Google\Chrome
 
firefox의 데이터가 저장되는 폴더를 조사하면 아래와 같이 sessionstore.js 파일이 존재 하는 것을 확인할 수있다.
 
sessionstore.js : firefox 브라우저가 비정상적으로 종료될 때 그 시점의 상태 정보가 저장되는 파일이다. 만약 범인이 firefox를 사용했을 경우를 확인하기 위해 해당 파일의 분석을 진행한다.
  • 자바스크립트를 해석해주는 사이트를 활용 (https://jsonlint.com)
  • 해당 파일을 편집기 등으로 오픈하여 내용을 복사
 
  • 분석 사이트에 붙여넣기 후 'Validate JSON' 클릭
 
sessionstore.js 파일의 내부 정보를 확인하면 "1_UNI/**/ON_SELECT" 라는 UNION SELECT 쿼리를 악의적으로 삽입한 것으로 확인.
 
 
 
해당 코드에서 lastUpdate 변수로 브라우저가 종료된 시간 정보가 인코딩되어 저장된 것을 볼 수 있다. 
 DCODE 프로그램을 사용해서 실제 종료된 시간을 계산해보았다.
 
 
 
 
KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.)
 
-> 1_UNI/**/ON_SELECT|2012-02-12T10:23:17
디지털포렌식 with CTF, 범
 

디지털포렌식 with CTF

COUPANG

www.coupang.com

 

반응형