보안 공부..

문제 설명

웹해킹 문제 링크로 접속하면 아래와 같은 화면이 나온다.

우측 상단에 있는 Login을 클릭하면 아래와 같이 username과 password 입력이 가능하다.

문제와 함께 제공된 코드는 python 코드인데,

파이썬 쉘(IDLE)에서 ctrl+O 해서 문제 파일인 app.py를 열어 보니 이런 소스코드가 나왔다. 

문제에서 'admin 계정으로 로그인에 성공'해야 한다고 말했으니 코드 속에서 계정과 관련된 것을 찾아야 힌트가 될 것 같다. 

직접적으로 플래그라고 언급된 admin 외에 user라고 나와있는 것은 guest 하나 뿐인 것 같다. 

로그인 창에서 username: guest, password: guest로 로그인해 보았다. 

guest로 로그인에 성공했다.

구글링으로 찾아 보니, guest로 로그인한 뒤 F12 개발자모드로 guest의 쿠키가 생성된 것을 확인해야 한다.

문제 이름이 cookie인 이유가 여기서 나오는 것 같다. 

개발자 모드>Application>Cookies 토글을 열면 현 링크의 쿠키를 확인할 수 있는데,

Value값으로 내가 방금 로그인한 guest가 생성된 것을 확인할 수 있다.

여기서 이제 Value값인 guest를 admin으로 바꿔 주고,

새로고침을 한 번 해 주면

이렇게 플래그가 나온다!

끝

https://www.igloo.co.kr/security-information/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EB%84%A4%EC%9D%B4%ED%8B%B0%EB%B8%8C-%EB%B3%B4%EC%95%88/

최근 클라우드 환경으로의 변화가 가속화되고 있음

클라우드도 기존 보안 환경과 최대한 유사하게 유지하고자 인프라 자원은 클라우드지만 구성 보안 시스템은 서드 파티인 경우가 많음

그러나 서드 파티 시스템의 전문성은 온프레미스상에서만 입증된 것

• 서드 파티 : 제3자. 어떤 분야에서 처음 개발하거나 원천 기술을 가진 것이 아니라, 원천기술과 호환되는 상품 또는 원천기술 파생상품을 생산하는 것
• 온프레미스 : 기업이나 조직이 하드웨어, 소프트웨어 등 모든 컴퓨팅 환경을 자체적으로 구축하고 운영, 유지, 관리하는 것

그래서, 클라우드 네이티브 시스템으로 인프라 구성을 변경하는 곳이 증가

클라우드 네이티브

클라우드 인프라 모델에서 제공하는 분산된 컴퓨팅 자원 활용 위해 애플리케이션을 구축 및 실행하는 개념

조직이 퍼블릭·프라이빗·하이브리드 클라우드에서 확장가능한 애플리케이션 구축·실행을 지원

탄력적, 관리가 용이, 관찰이 가능한 느슨하게 결합된 시스템도 사용할 수 있도록 해줌

 → 엔지니어가 변경 및 설정 오류 등을 쉽게 확인할 수 있음

ex) 컨테이너, 마이크로 서비스, API

• 클라우드 네이티브 아키텍쳐
  • 온프레미스 환경에서 벗어나 오롯이 클라우드에만 존재하도록 특별히 설계된 애플리케이션 or 전체 인프라 환경
  • 물리적 서버에 의존하지 않고도 레거시 시스템(낡은 기술이나 컴퓨터 시스템)보다 높은 수준의 유연성 제공
  • API를 통해 서로 통신
  • 이벤트 기반 구조 사용해 각 애플리케이션의 전반적 성능 향상
  • 마이크로 서비스: 클라우드 전용 애플리케이션 아키텍처의 핵심, 애플리케이션을 여러 개의 독립된 서비스로 배열

클라우드 네이티브 서비스

• 컨테이너화되는 오픈소스 소프트웨어 사용하는 것

클라우드 네이티브 환경에서의 애플리케이션 

• 컨테이너로 패키징됨
• 오케스트레이션 통해 각 컨테이너가 스케줄링 및 관리가 되어 리소스 사용률 최적화
• 마이크로 서비스 구조를 통해 애플리케이션의 민첩성·유지 관리의 편의성 높이는 것에 목적

클라우드 네이티브 기술

• 컨테이너
• 서비스 메시
• 서비스

CNCF (Cloud Native Computing Foundation)

• 리눅스 재단 소속 비영리 단체
• 클라우드 네이티브 컴퓨팅 환경에서 필요한 다양한 오픈소스 프로젝트를 추진·관리
• 500개 이상의 글로벌 기업들이 활동 중
• '클라우드 네이티브 기술을 사용하는 조직은 현대적인 퍼블릭·프라이빗·하이브리드 클라우드처럼 동적인 환경에서 확장성 있는 애플리케이션 만들고 운영할 수 있다'

2025년까지 새로운 앱의 90% 이상이 클라우드 네이티브 환경으로 구현될 것!

클라우드 네이티브 보안

1. 클라우드 (Cloud)
   • 쿠버네티스 클러스터 구성을 위한 신뢰 컴퓨팅 기반(trusted computing base) 
   • 클라우드 계층이 취약한(또는 취약한 방식으로 구성된) 경우 이 기반 위에서 구축된 구성 요소가 안전하다는 보장 X
   • 각 클라우드 공급자는 해당 환경에서 워크로드 안전 실행 위한 보안 권장 사항 제시

   • 

2. 클러스터 (Cluster)
   • 애플리케이션의 공격 영역에 따라 보안의 특정 측면에 중점 둘 수 있음
   • 다른 리소스 체인에 중요한 서비스 A&리소스 소진 공격에 취약한 별도의 작업 서비스 B 실행할 경우 서비스 B의 리소스 제한하지 않으면 A가 손상될 위험 높음
3. 컨테이너 (Container)
   • 컨테이너 취약점 스캔 및 OS에 종속적인 보안
   • 이미지 서명(컨테이너 내용에 대한 신뢰 시스템 유지)
   • 권한 있는 사용자의 비허용
4. 코드 (Code)
   • TLS를 통한 접근
   • 통신 포트 범위 제한
   • 타사 종속성 보안
   • 정적 코드 분석
   • 동적 탐지 공격

▼ 아래의 강의를 활용해 학습 및 정리하였습니다. ▼

https://inf.run/zmPL

디스크 이미징

• 디스크를 파일의 형태로 만드는 것
• 디스크 속에 존재하는 것들을 분석하기 위해서는 파일의 형태로 존재해야 함. 

디스크 마운트

• 이미징된 파일을 내 컴퓨터에 등록시키는 것

메모리 덤프

• 이미 컴퓨터 메모리에 존재하는 프로그램들을 그 자체로 덤프하여 하나의 파일로 떼우는 것(?)
• 켜져있는 컴퓨터를 수사할 때, 켜져있는 상태 그대로를 가져와 파일 추출할 때 사용

디스크 이미징(이미지 덤프) 실습

FTK imager 설치

• :C 외의 다른 드라이브 혹은 USB 등이 반드시 필요. 

1. File>Create Disk image>디스크 선택(크기가 작을 수록 속도가 빠름)>이미지타입 선택(보통 Raw 또는 E01 많이 선택하는데, E01이 더 압축된 포맷)

기초 도구 설치

1. HXD
   • 파일의 헥스값을 보는 데에 사용.
   • 파일을 구성하는 각각의 바이트를 보기 쉽게 확인 가능 
2. Everything
   • 포렌식 도구는 아니고, 컴퓨터 전체에 대해 인덱스 만들어 주는 도구
   • 빠른 서치가 가능
3. 7-zip ( (반디집으로 대체 가능. 그러나 광고가...))
   • zip 파일의 압축을 풀어줌.
   • 특이한 파일의 압축풀이도 지
4. notepad ++
   • 여러 파일을 한번에 올려두고 볼 수 있음
   • 전체 파일에 대한 검색 지원
5. Sysinternals Suite
   • 도구 모음
   • 자주 쓰는 것
     • strings
     • procexcp
     • procmon
6. FTK-imager
   • 디스크 이미지 관리
   • 이미징
   • 마운트
   • 이미지 덤프
7. Autopsy
   • 디스크 이미지 관리 + 추가적 기능 (강력)

디스크 마운트

• 컴퓨터에 있는 드라이브, 이미지 파일을 할 거면 굳이 마운트 할 필요는 없음.
• 마운트 하는 이유: 드라이브 보는 란에 이미지 파일을 함께 보기 위함. 다양한 도구들에서 경로가 잡혀야 뭐든 할 수 있음 (?..)

삭제된 파일 복구 실습

• FTK imager 사용
  1. Evidence에 이미지 파일 추가
  2. [root] 들어가면 디스크 이미지 속에 들어있는 파일들을 전부 보여줌
     • 그 중에, 파일 그림에 X표 쳐져있는 것이 삭제된 파일. (삭제되었지만, 원본 그대로 살아있는 걸 확인할 수 있음)
  3. 삭제된 파일 우클릭>Export Files>Export할 파일 선택하면 복구된 것을 확인할 수 있음. 
• Autopsy 사용

디스크 이미지를 넣는 경우에는 정말 많은 데이터 뽑아낼 수 있음. (windows 파일시스템 내부 아키텍트들을 많이 지원해주기 때문..)

1. New case>Case name 정하기>(웬만한 거 다 그냥 건들지 말고 넘기기)
2. FTK보다 더 해 주는 것: 파일 타입에 따라 나열해 줌. 

문제 풀이

Q. 디지털 포렌식을 한 문장으로 정의해 보세요
- 디지털 범죄와 관련해서, 디지털 기기에서 발견되는 자료를 복구 및 조사하는 법과학. 

Q. 메모리 덤프는 어떤 상황에 사용하나요?
- 켜져있는 컴퓨터의 현 상황을 그대로 가져와야 할 때

Q. 디지털 포렌식의 대상에서 데이터 베이스 포렌식, 암호 포렌식, 회계 포렌식 등등은 특정한 대상과 속성이 있음에도 
기타로 분류하였다. 그 이유는 무엇일까?

- 너무 전문적인 분야이고, 포괄성이 부족한(작은) 분야라서?

- 대상이 될 수 있겠지만, 너무 지역적인 영역이라 따로 분류하진 않는다. 

Q. 디스크 이미징이란?

- 디스크를 파일의 형태로 만드는 것

Q. 삭제 파일 복구에서 휴지통의 경로는?

- [root] 

Q. 디지털 포렌식을 위해 다운로드 해야 하는 프로그램 중 검색으로 빠르게 파일을 찾을 수 있는 프로그램은 무엇인가?

- Everything

웹해킹 문제 링크로 접속해 보니 이런 화면이 나온다. 

문제 파일을 저장해서 열어 봤을 때도 같은 화면이 나왔다. (html 파일이라서 그런 듯)

아무것도 없이 이 화면만 있어서 사실 좀 당황했다.

어디서 본 건 있어서 F12를 눌러 Sources 탭에 들어가 보니 소스코드로 추정되는 걸 찾을 수 있었다. 

소스코드를 보고 나서도 명확하게 감을 잡기가 힘들어서 구글링의 힘을 빌렸다. 

input 태그의 name 값에 이 문제의 제목과 동일하게 "64se64_encoding"이 쓰여있는 게 이번 문제의 핵심인 듯 하다.

아직은 잘 모르겠으나, 아주 긴 value 값을 Base64로 디코딩하면 해결할 수 있다고 한다.

https://www.base64decode.org/ko/

위의 사이트를 통해 value값을 디코딩했다. 

이러한 파이썬 코드로 디코딩됐다. 

파이썬 코드를 그대로 주피터노트북에서 실행시켜 보니 플래그가 나왔다. 

DH{be046b7522aa2e28f276e0c910521f23a0587005a8377370a11e5e4dc15fb2ab}

끝!

문제 설명

웹해킹 문제 링크로 접속해 보니 아래와 같은 화면이 나온다. 

리눅스와 형태가 동일한? 비슷한 것 같고, 

flag.txt 파일을 찾는 것이 우선이니 어떤 파일들이 있는지 확인해 보기 위해

ls 명령어를 사용해 보았다. 

이런 결과가 나왔다. 줄바꿈이 되어 있지 않아서 파일들을 서로 구분하기 조금 어렵긴 하나...

hint.txt라는 파일이 의미심장하다.

hint.txt 파일을 구체적으로 확인해 보기 위해

cat 명령어를 사용했다. 

flag의 위치가 ./dream/hack/hello 라고 이야기 해주는 듯 하다. 

cd ./dream/hack/hello; cat flag.txt 해 보니 결과는

음...

구글링을 통해 힌트를 얻어 봤다

문제가 제공한 문제 파일을 다운로드 받고

파이썬 쉘(IDLE)에서 ctrl+O 해서 문제 파일인 app.py를 열어 보니 나온 소스코드이다. 

이 부분이 힌트라고 한다!

flag라는 키워드가 포함되면 NO!를 무조건 리턴하는 소스코드였다.

그러므로 flag 대신 *를 사용해 cat *.txt를 해 줘야 플래그를 찾을 수 있다.

cd ./dream/hack/hello; cat *.txt 해 주니...

플래그를 찾을 수 있었다.

DH{671ce26c70829e716fae26c7c71a33823feb479f2562891f64605bf68f60ae54}

끝!!!!!

https://www.ahnlab.com/ko/contents/content-center/35549

디지털 포렌식

디지털 정보를 사용해 범죄 근거를 찾는 수사 기법

PC 및 디지털 저장 장치에 저장됐거나, 온라인 상의 전자정보 중 필요한 정보를 식별해 수집·분석하고 제출하는 일련의 과정

법으로 규정된 내용 - 디지털 증거를 수집·분석 또는 보관하거나 현출하는 데 필요한 기술 또는 절차

- 대검찰청 예규 제805호 ‘디지털 포렌식 수사관의 증거 수집 및 분석 규정’

• 디지털 증거- 범죄와 관련해 디지털 형태로 저장되거나 전송되는 증거로서의 가치가 있는 정보

유형

• PC 포렌식
  
  • 개인 PC와 서버, 랩탑 등의 컴퓨팅 장치에서 발생하는 디지털 증거를 수집 및 분석
• 모바일 디바이스 포렌식
  • 모바일 장치에서 발생하는 디지털 증거 처리
• 네트워크 포렌식
  • 네트워크에서 발생하는 통신 데이터를 분석하고 이해
  • 네트워크 트래픽 패킷을 캡처·분석해 통신 패턴, 사용자 활동, 보안 위협 등을 식별
• 메모리 포렌식
  • 컴퓨터의 램(RAM)에서 발생하는 데이터를 수집하고 분석
  • 프로세스, 스레드, 네트워크 연결, 암호화 키 등을 분석해 중요한 정보를 발견
• 클라우드 포렌식
  • 클라우드 저장소, 클라우드 애플리케이션 사용 로그 등을 분석해 증거를 수집

과정

1. 증거 수집
   • 조사 대상 장치나 시스템에서 증거를 수집
   • 하드디스크, USB 드라이브, 메모리 카드, 휴대폰, 태블릿 등 다양한 디지털 장치에서 증거가 발견될 수 있음
2. 증거 보존
   • 디지털 증거는 변조되거나 손상될 수 있어 보존 과정에서 철저한 주의가 필요
   • 이미지 복사본을 만들거나 특수한 소프트웨어 사용해 증거 보호
3. 증거 분석
   • 디지털 포렌식 전문가가 다양한 툴·기술 사용해 데이터를 분석하고 추출함
   • 파일 시스템, 메타데이터, 삭제된 파일, 네트워크 트래픽 등을 분석해 유용한 정보 찾아내는 과정
4. 보고서 작성
   • 수집된 증거, 분석 결과, 발견된 사실, 추론, 결론 등을 포함한 보고서 작성