You are on page 1of 7

제 2회 청소년 화이트해커 경진대회

5위 UNLIMIT ( 배경준 )
ruin730@nate.com

2. 수량이 다 떨어졌다.450833. 다른 쿠폰은 KFC 가 있었는데 일단 나는 구매가 어떤식으 로 돌아가는지 알아보기 위해 KFC 쿠폰을 구입하는 과정을 파로스로 패킷을 잡으며 추궁해나가 는 도중에 dealId=2&username=1&userAddress=1&userTel=01000000000&userComment=1& curTime=20130520222741&x=50&y=40 이런 패킷을 보게되었다. curTime 은 구매 시간으로 추측하여 맥도리아 1+1 쿠폰을 구입하기위해 패킷을 변조했다. . dealId=1&username=1&userAddress=1&userTel=01000000000&userComment=1& curTime=20130101092133&x=50&y=40 구매에 성공하여 구매내역을 확인해보니 Deal: 1.4(sa)-dong (87-1 Inha-ro) 로 나왔다.jpg 확장자로 바꿔준 후 열어보니 사진이 흔들려있었다.25. 2013:05:03 16:38:40 를 키값에 맞춰주면 2013-05-03-16:38 . Time: 2013-05-20 22:27:41.658000 를 구글맵스에 검색해보니 190-11 Yonghyeon 1(il). Forensic100 헥스에디터로 열어보니 jpg 파일임을 알 수 있었다. 맥도리아 1+1 쿠폰 구매는 기간이 이미 지나있고. 따라서. EXIF 정보에 사진 찍은 시각이 있다. N37. Web100 http://165. 우선 위치를 찾기위해서 EXIF 정보의 GPS 좌표를 찾아냈다. KEY: eva9_burger 키값이 나와주었다. dealId 는 상품 아이디 값으로 추측했고. E126.1. 번지수는 190-11 뺑소니 당한 시간도 쉽게 알아낼 수 있었다.246.113:60601/HackingQuiz/ 에 들어가게 되면.

Crypto100 Bmp 파일이 여러 개가 존재하는데 하나를 추출해서 key 파일을 만든 뒤에 decrypt 했더니 doc 파일이길래 열어보니까 키값이 존재했다. 키값은 190-11_2013-05-03-16:38_56마8015 4. 5. 56마8015 따라서.Bonus100 헥스에디터로 열어보니 헤더값이 PK 이므로 . pcap 파일을 열어보니 패킷이 너무 많았다. 포토샵이 있었다면 기술적으로 풀었을 것이나.zip 파일이다. 키값은 Knowledge finds its price. 압축을 풀어보면 보너스문제.Network200 Login admin 이라는 문제와 함께 pcap 파일이 주어졌다. 헷갈릴 필요없이 그냥 그대로 하면 >>> 11+13+17+1923+20*31+3741+43*47+5359*61+67-71 335241 7.그리고 드디어 최대의 난관인 번호판이었다. . 포토샵 없을뿐더러 기술력도 부족해서 게싱했다.jpg 가 존재하는데 열어보면 사칙연산같이 써있는데.

com IMSG i dont know admin's pwd CMSG 255 104 CMSG 0 jsy0251@nate. PHP 정규식 같은 문자열이 있었으나 반대로 되있었다.zip 파일이었다.하나하나 보긴 너무 오래 걸려서. (tcp. 그 패킷을 거꾸로 해보니 PK 헤더를 가진 . .stream eq 7) Admin 의 비밀번호를 모른다고 전송했더니 “I will send you a file” 을 거꾸로 전송했다. 근데 좀 이상했다.com 370 IMSG what happen? ALRM 0 NOTE %00 0 2 %00 CMSG 255 N S 389 jsy0251@nate. 문제에 admin 으로 로그인 하라고 했으니.txt 파일이 있었으나 비밀번호가 걸려있었다. 파일을 전송하겠다 했지만 이 시간이후의 패킷을 보니 파일전송 기록이 존재하지 않았다. 비밀번호를 풀기위해서 Advanced ZIP Password Recovery 툴을 이용했다. CMSG 253 N S 355 jsy0251@nate. 근데 로그인을 시도한 것을 보니 admin 의 패스워드를 모르고 여러 번 로그인 시도를 했었 다는 것을 알게 되었다. 이 영역을 통해서 파일을 전송했을거라 생각하고 봤더니 딱 3개의 패킷이 존재하고 있었다. 오랜 현자의 시간을 갖다가 ICMP 프로토콜을 떠올렸다. ICMP 프로토콜의 Data 영역에는 일반적으로 32바이트의 문자열이 들어가 있다.) ALRM 0 NOTE %00 0 2 %00 다 넣긴 너무 길어서 일부 생략했습니다.3}. 분명히 admin 이 들어가는 패킷이 있을거라 생각하고 스트링 검색으로 검색하다가 http://165.php 라는 페이지에서 로그인을 시도한 것을 확인할 수 있었다.com IMSG hey hey!! CMSG 253 104 CMSG 0 jsy0251@nate.246. 그래서 열어보니 n[C-F][0-9][a-v]{1.113:62002/NHadmin.25. 그래서 다른 패킷을 보던 중 어느 메신저의 대화기록을 볼 수 있었다. 그래서 그 패킷이 통 째로 거꾸로 되있다는 것을 그제서야 눈치챘고.com 406 IMSG elif a uoy dnes lliw I .

Reversing200 올리디버거로 좀 보니까 키값이 출력된 후 Blind ~~ 라는 도형을 띄우길래 TextOutW 라는 함 수를 찾아 BP 를 걸어준 뒤 돌리니까 쉽게 풀리더라. LOBYTE(a1) = v8B040030 & 4. rksWkaQhdRnfakt 10. srand 하기전에 20번 을 모두 이겨버리자는 생각으로 1을 순식간에 여러 번 입력해버리면 키가 뜬다. srand 는 시간에 따라 달라지니까. 거꾸로 하니까 키값이 더라. *(_DWORD *)&result = (v4000000 ^ *(_DWORD *)a1) != 0x57E3313F || (v4000004 ^ *(_DWORD *)(a1 + 4)) != 0x68516168 || (v4000008 ^ *(_DWORD *)(a1 + 8)) != 0x666E5260 || (v400000C ^ *(_DWORD *)(a1 + 12)) != 0x74949E.Password for this file: nE1akk Password in HEX: 6e 45 31 61 6b 6b 압축을 풀어보면 admin 의 패스워드가 있다. Well done!! the KEY is Hanwha_Eagles_Fighting! 12. 이런 함수가 있길래 그래서 동적으로 연다음 각각 XOR 연산을 해준 뒤. Admin / l_0lk!@++4cl< 로 로그인하면 키값이 출력된다. 키값 : (사이트가 닫혀있네요) 9.Pwn200 Rand 함수를 사용했을 것이 분명하고. FuCking_virTua1izer .Reversing200 열어보니까 lstrcmp 주소를 바꾸더라.

Forensic300 1) 악성코드 유포 경유지 : http://218.exe 를 . 4) 악성코드 파일의 이름 : REAL_M4LW423.204/shop/js/blank.html 패킷을 보니 난독화된 자바스크립트문으로 web.144 and ip.dst == 175. 2) CVE 번호 : CVE-2012-1723 3) Exploit 파일의 이름 : lEHda36.der 라는 문자열을 가진 패킷이 쪼개져서 존재하길래 헤더와 맨 끝에 붙는 널값을 지 워주면서 이어붙였다.exe_7HI5_I5_P455W02D_5C6EC74434F944 98CE060A02DE52BD95A3EE593D_729C89AFD9E211FE04163D10ABFF264CC80 159E6 .exe 파일을 추출하면 수상한 파일명이 있어서 넣으니 답이었다.jpg_REAL_M4LW423.jpg web.222.html 으로 로드시키더라.zip 으로 풀어보면 3개의 파일 중 텍스트 파일을 열어보면 해 커의 아이피가 존재한다.148.241/shop/js/blank.156.168.src == 192. 7) 유출된 공인인증서 개인키의 체크섬 값 : 729C89AFD9E211FE04163D10ABFF264CC80159E6 0.90.210.91.port == 80 해줬더니 쉽게 찾을 수 있었다.233. 6) 유출된 공인인증서의 체크섬 값 : 5C6EC74434F94498CE060A02DE52BD95A3EE593D 0.key (6번과 같음) 8) http://211.189 and !tcp. 5) 유출된 공인인증서 패스워드 : 7HI5_I5_P455W02D REAL_M4LW423.html_CVE-2012- 1723_lEHda36.html 에 접속하면 다운로드 하는 파일이다.17. (서버와 통신) 그래서 패킷 필터링을 ip.

K0R34 . md5(“NewHeart”) 24.23. 번역해보니 “NewHeart” 를 md5 하면 키값이란 뜻이었다. 그래서 나는 두개의 음악파일을 믹싱한 후에 스펙트럼을 보니 모스부호 같은 스펙트럼이 존재하 길래 그것을 해독해보니 NO.19N0R3. 근데 특이한 점은 들어보니 서로 똑같았다.Misc100 압축을 풀어보니 커버사진과 wav 파일 2개가 있었다. 그래서 beyond compare 라는 툴로 디퍼를 해 본 결 과 음악 중간 부분에서부터 조금 다른 데이터값이 존재했다.Misc100 헤더가 PK 여서 압축을 풀어주니 이상한 외국어로 써있길래 구글 번역기에 돌려보니 캄보디아 어로 적힌 문자였다.