보안/Wargame

badRansomware (325) - Forensics Microsoft Word 형태의 파일이 주어졌습니다. 포렌식 문제에서 제일 첫번째 문제였는데, 사전 준비가 미흡하여 Microsoft Word 를 설치하는 데 시간이 걸렸고, 정품인증안해서 다시 삭제하고 무료 오피스를 찾다가 Libre Office 라는 걸 알게되서 다시 설치하고 하는데 거의 시간을 다 소비했던 허무한 문제였습니다. 그래도 한 문제라도 풀어보자라는 생각에 차분히 설치를 다하고 파일을 열어보았습니다. 문제 파일을 열어보면 위와 같은 이미지 두 개가 위아래로 배치되어 있습니다. 그리고 처음에 실행하면 백신이 매크로를 탐지했다고 매크로를 파일에서 지워버립니다. 그래서 백신의 실시간 감시를 잠시 해제하고서, 다시 실행하면 오피스 프로그램..

보안/Wargame

접속하면 귀여운 웹페이지가 나옵니다. 이번에는 웹쪽에서 먼저 보기보다 이전에 Weather App에서 호되게 당한 기억이 있어 도커와 소스코드부터 보았습니다. FROM python:3 # Install Python dependencies RUN pip install flask Pillow # Install Pillow component RUN curl -L -O https://github.com/ArtifexSoftware/ghostpdl-downloads/releases/download/gs923/ghostscript-9.23-linux-x86_64.tgz \ && tar -xzf ghostscript-9.23-linux-x86_64.tgz \ && mv ghostscript-9.23-linux-x86..

보안/Wargame

1. Foot Printing 접속하면 아래와 같이 날씨 App 이 나옵니다. 그리고 백그라운드에서는 아래와 같이 HTTP POST request를 전송합니다. POST /api/weather HTTP/1.1 Host: 188.166.173.208:30573 Content-Length: 47 Pragma: no-cache Cache-Control: no-cache User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Content-Type: application/json Accept: */* Origin: http://188.166..

보안/Wargame

Footholdings 아래는 nmap 결과입니다. # nmap -sV -sT -sC -Pn 10.10.10.245 PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: |_ 256 3f:d0:ff:91:eb:3b:f6:e1:9f:2e:8d:de:b3:de:b2:18 (ED25519) 80/tcp open http gunicorn | fingerprint-strings: | FourOhFourRequest: | HTTP/1.0 404 NOT FOUND | Server: gunicorn | Date..

보안/Wargame

처음 로그인 하게 되면 위와 같이 나옵니다. 정황상 로그인을 해야 뚜렷한 갈길이 보일 것 같았습니다. 무작정 bruteforce 도 돌려보고, mysql, mssql, nosql injections 들도 시도해보았습니다만 별로 성과가 없었습니다. 그러다가 하늘색의 문구가 그제서야 보이더군요. “Workstation username and password” 이 한 문장이 제게 큰 힌트로 찾아와주었습니다. 보자마자 머리속에서는 “이 조직에서는 Windows 를 사용하고, Active Directory 상으로 사용자들이 속해있을 것이며, 사용자 아이디와 비밀번호 인증이 있구나!” 라고 생각이 번쩍 들었습니다. 하지만 Active Directory 를 직접 사용해본 것은 몇 년이나 지났기 때문에 복습이 필요해서..

보안/Wargame

처음에 제공받은 URL에 접속하면 위와 같은 화면이 나옵니다. 그리고 URL은 아래와 같은 형식이 존재했습니다. http://206.189.16.37:30549/?format=r 처음엔 format 에 r 값이 어떤 의미인지 몰랐고, 이것저것 다양한 알파벳, 숫자, 특수문자를 넣어보았을 때 패턴을 찾을 수 있었습니다. 어떤 문자는 날짜 형식이 변환되어져서 나왔고, 어떤 문자는 문자그대로 출력되었었습니다. 그러다가 문제에 파일이 따로 첨부되어있는 것을 확인하였고, 아래와 같은 코드를 확인할 수 있었습니다.

보안/Wargame

처음 접속하게 되면 아래와 같은 페이지가 나옵니다. 사실 문제 제목부터가 SSTI(Server Side Template Injection) 유형의 문제 같긴 합니다. 처음 접속 하면 powered by Flask/Jinja2 라고 나옵니다. 그래서 우선 "SSTI Flask/Jinja2" 에 대해서 자세히 알아보았습니다. 그리고 정말 설명이 잘되어 있는 블로그 하나를 찾았는데, 다음과 같습니다. https://medium.com/@nyomanpradipta120/ssti-in-flask-jinja2-20b068fdaeee SSTI in Flask/Jinja2 What is SSTI ( Server-Side Template Injection) medium.com 위 블로그에서는 SSTI를 통해서 confi..

보안/Wargame

PORT STATE SERVICE VERSION 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds Windows XP microsoft-ds 3389/tcp closed ms-wbt-server Service Info: OSs: Windows, Windows XP; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_xp Host script results: |_clock-skew: mean: -4h29m58s, deviation: 2h07m16s, median: -5h59m58s |_nbstat: NetBIOS name: LEGACY, NetBIOS user: ..

보안/Wargame

References CVE-2017-7269 : Microsoft IIS 6.0 - WebDAV 'ScStoragePathFromUrl' Remote Buffer Overflow CVE-2014-4076 : Microsoft Windows Server 2003 SP2 - TCP/IP IOCTL Privilege Escalation (MS14-070) 바로 이전의 Granny 문제와 유사하여 유사한 흐름으로 진행하였습니다. # nmap -sV -sT -sC -Pn 10.10.10.14 PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 6.0 | http-methods: |_ Potentially risky methods: TRACE COPY ..