CTF 문제

CTF 문제

O 개요

-      CTF 출제문제를 통한 유형 파악

 

O 주요내용(CTF)

-      CODEGATE

n  특정시간에 외부저장매체를 통한 기밀유출 발생, 외부저장매체 확인

l  http://shell-storm.org/repo/CTF/CodeGate-2011/Forensics/300/desc.html

1.     Win32 Registry File

 

2.     Registry File Viewer

3.     USB Forensic

4.     http://www.woanware.co.uk/forensics/usbdeviceforensics.html

5.     최근 사용 시간 추출(특정시간 대)

n  바이너리 직접 분석 난해(안티디버깅)

l  Strace, truss, ltrace 활용 함수 및 논리 구조 파악

1.    실제경로를 확인, password 및 flag 문자열 확인

2.    문자열 체크와 파일 오픈사이에 시간차 존재

3.    Race Condition

4.    2개의 터미널을 열고 1번째 파일은 문제파일 무한 수행,2번째 터미널에서는 임시파일 무한반복

-      HDCON

n  특정 DB파일의 삭제된 영역 복구

l  파일 시그너처 분석 후 복구

1.    SQL-LITE DB 확인

2.    SQL-LITE Recovery Tool 사용

3.    파일시그너처 index 복구

n  웹로그 분석 및 패치

l  VPN 접속 후 원격지 웹서버 접속

1.    Apache 확인 후 access 및 error 로그 확인

2.    비정상 접속 및 에러로그 파일 확인

3.    소스파일내 입력 값 미검증 취약점 발견

4.    SQL injection 취약점 대응

5.    특정 파일을 virustotal에서 확인하고 악성코드 삭제

-      DEFCON

n  네트워크 패킷의 분석

1.    대용량 pcap 파일

2.    VOIP 패킷 재조합 후 음성 청취

3.    다양한 프로토콜 중 SSL의 특정 포트 send 확인

4.    Wireshark 필터 적용

A.     (ip.src == 1.1.1.1) and (tcp.port == 1004)

5.    서버측 private key 등록 후 스트림 확인

-      DEFCON

n  포맷스트링/스택오버플로우 버그

1.    IDA+hexray 활용 대용량 바이너리(static)

2.    인자값을 하나만 받는 함수, 아규

3.    서버의 ASLR 우회를 위해 ROP(RTL) 기법 활용

4.    RTL: 쉘코드 실행을 위해 system,exec 함수주소를 재활용

A.     libc영역은 스택에 없음