kkamagi.story

GUI 모드로 도커이미지 설치 및 도커 컨테이너 실행하기 처음 사용하기 때문에 도커를 콘솔모드로 실행하고 조작하기가 불편 하실꺼예요. 도커를 설치하면 툴박스는 "Kitematic (Alpha)" 아이콘이 바탕화면에 생성되었을 것이고 Docker for Windows를 설치한 분은 작업표시줄의 고래아이콘을 클릭하여 팝업 메뉴에서 Kitematic를 클릭하여 Kitematic를 실행해주세요. kitematic 다운로드 및 설치(압축해제) 폴더 생성 필요 압축 해제 후 실행 Docker for Windows에서 Kitematic 선택하기 Kitematic는 미리 만들어놓은 도커용 이미지 마켓 정도로 생각하면 됨 이미지를 만들어 배포도 가능합니다. 도커 컨테이너 실행 화면으로 넘어갔을 경우 이 화면으로 넘어올려..

[NETWORK] chapter01 우리는 적군에 대한 첩보를 수집하기 위해 스파이를 고용했다. 그러나 스파이는 추출한 기밀문서를 잃어버린 것 같다. 그들은 이것을 우리에게 보냈고, 이것을 통해 필요한 모든 것을 찾을 수 있다고 했다. 도와 줄 수 있습니까? * 문제 첨부파일 다운로드 (exfil.tar.xz) - dump.pcap - server.py 1. dump.pcap Wireshark 분석 - DNS 패킷확인 tshark -r dump.pcap -Tfields -e dns.qry.name | awk '!a[$0]++' > extracted.txt && tshark -r dump.pcap -Tfields -e dns.cname | awk '!a[$0]++' >> extracted.txt 성공적으로..

나는 힉스 입자가 발견되지 않을 것이라고 미시건 대학의 Gordon Kane과 내기를 했다. file 확장자가 부재하여 file 명령어로 file type 확인 - xz 압축 파일임을 확인 file type을 계속확인하여 xz -> tar -> pcap 파일을 얻을 수 있었다. 이제 wireshark로 패킷을 분석해보자. TCP 통신이 이뤄졌던 것을 확인 Follow Stream을 통해 데이터를 확인 tcp stream eq 0 을 보면, file명과 hash값을 알 수 있다. 리눅스의 string 명령어를 사용하여 pcap 파일의 string을 검색하고, SHA-1 값만 grep해 보자. 6개의 Hash 값이 확인되었으나, Hash 값만 통해 어떤 파일인지 식별이 불가능하여, Hybrid Analysi..

[NETWORK] chapter01 - 파일을 다운로드하고 플래그를 찾아라. https://github.com/ctfs/write-ups-2015/blob/master/asis-quals-ctf-2015/forensic/zrypt/README.md https://www.virustotal.com/gui/file/37ec11678ab1ac0daf8a630fdf6fb37ca250b3c4f44c092f1338a14409fb3f79/details HTTP Object 확인 위와 같이 특이한 이름의 파일들을 확인해보면 다음과 같다. YupE1RB8 EX8UPdUb xnCub4eW EO4qqhn8 VuwPO9eM BOQqupmS E0frzRAi file type 확인 후 zipinfo 명령어를 통해 압축파일들의 정..

[NETWORK] chapter01 - 하늘은 왜 푸른색입니까? binwalk (특정 파일에서 어떤 파일이 포함되어 있는지 분석 및 추출하는 툴)을 통해 blue.pcap 파일 내에 png 파일이 포함되어 있는 것을 확인 wireshark로 blue.pcap파일을 열고 ctrl + F로 'png' String을 검색한다. 검색 시 맨 좌측에 Packet bytes로 변경 후 검색한다. 검색하면 특정 패킷에 특정됨을 확인할 수 있다. 패킷의 헤더를 보면 [02 0c 20] 으로 시작함을 알 수 있다. ctrl+F를 통해 추가적으로 Hex값을 검색해보면 해당 헤더 [02 0c 20]을 가진 6개의 패킷을 확인할 수 있다. 283, 288, 293, 298, 303, 308, 313 패킷에 대해 wiresha..

[NETWORK] chapter01 - 살인을 확인할 수 있습니까? 부검 파일에 서명해주세요. -> 손상된 pcap 파일 kill.pcapng 파일이 정상적으로 열리지 않는 것을 확인 pcap file을 우분투 docker로 복사하여 아래 명령 설치 및 실행 (pcapfix) # apt-get install pcapfix 복구가 완료되면 파일명에 'fixed_'문자열이 붙은 파일이 생성된다. docker를 빠져나온 뒤 복구한 pcap파일을 호스트로 복사 statistics - Conversations을 통해 두 host간 연결 정보 및 내용을 확인 TCP Stream으로 패킷 상세 내용 확인 -> jpg, mp4 파일을 전송한 내용 확인 jpg 파일의 시그니처 [FF D8 FF E0 xx xx 4A 46..

서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.) 파일 확인(7z) 압축해제 후 user 폴더 확인 지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인 브라우저 데이터 저장 경로 IE(Internet Explorer) C:\users\사용자\AppData\Roaming\Mic..

[DISK Forensic] IU는 악성코드에 의해 감염된 시스템을 조사하고 있다. 타임라인을 분석한 결과 2012년 2월 9일 이후 오염된 것으로 보인다. 오염된 경로는 웹 페이지 방문으로 판단된다. 아이유는 여러 사용자들의 인터넷 추적을 분석하고 있지만, 악성 URL을 찾지 못했다. 시스템이 감염됐을때 흔적이 지워졌을수도 있다. 정확한 악성 URL과 오염된 시간을 찾아라. 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.) 파일 type 확인 및 압축 해제 압축 해제 후 아래 경로에 cookie라는 이름의 파일이 존재하는 것을 확인 -> 파일 시그니처 확인 디지털포렌식 with..

FTK imager 다운로드 및 설치 -> 실행 2020.08.17 기준 최신 버전 4.3.0 1. 공식홈페이지에서 다운로드 및 설치 실행화면 2. 디스크 이미징 - 사본이미지 생성은 원본 저장매체의 물리적 데이터를 파일로 만드는 작업 - 파일, 디렉터리, 디스크의 비할당영역, 슬랙공간을 포함하여 저장 - 사본이미지 생성 전 쓰기방지 설정 필수 - 디지털포렌식전문가 2급 시험 : 시험장에서 분석을 위해 분석용 USB가 주어지며, 해당 USB를 원본저장매체로 간주하고 이미징 작업을 진행 (연결하기 전 레지스트리를 통한 쓰기방지 설정 필수) : 기존에 시험볼 때에는 encase의 fastblocSE 기능을 이용했었으나, 15회 시험 부터는 Encase 지원이 안된다고 한다) 쓰기방지설정 참고 : kkamag..