have a Young's

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

작업 관리자에서 CPU 확인했을 때 가상화가 사용으로 되어있음에도 NOX를 실행하면 VT가 활성화되어 있지 않다고 뜬다.    구글링을 해보니 바이오스에서 설정을 해야 한다고 했는데아무리 바이오스(삼성 노트북)를 뒤져도 가상환경 설정을 찾지 못했다 ㅠㅠ그래서 나는 다른 방법으로 간단하게 해결했다.     먼저 시작에서 Windows 기능 켜기/끄기를 실행한다.     나는 원래 가상 머신 플랫폼이 체크되어 있었다.체크를 해제하고 확인을 누르면 재부팅을 하라고 하는데,재부팅을 하고 나면 NOX가 정상적으로 실행된다!

문제에는 pcapng 파일이 주어진다. 172.112.93.7 가 192.168.98.130 으로 계속해서 Ping을 보내는 것을 확인할 수 있다. 따라서 의심가는 IP는 172.112.93.7 이다. FLAG fiesta{172.112.93.7} 문제 2 - 1에서 이어지는 문제다. 의심되는 IP (172.112.93.7)을 검색했을 때 이 IP가 사용한 프로토콜은 ICMP임을 확인할 수 있다. FLAG fiesta{ICMP} 문제 2-1과 2-2에 이어지는 문제다. 의심되는 IP가 전송한 패킷 데이터를 보면 "."과 "-"로 이루어진 데이터를 볼 수 있다. 0x2e = . 0x2d = - IP 주소가 172.112.93.7이고 ICMP 유형이면 각 패킷의 데이터를 필드로 지정하고 필드만 출력하는 명령..

문제에는 pcapng 파일이 1개 주어진다. NetworkMiner로 열기 위해 pcapng파일을 pcap 파일로 변환시켰다. 공격자와 서버의 IP 주소를 알아냈다. 공격자 : 192.168.152.130 서 버 : 192.168.152.129 공격자와 서버의 ip를 필터링을 걸어 패킷을 확인했다. 공격에 성공한 패킷을 확인했을 때 /password_chage.cgi 에서 bas64로 인코딩된 문자열을 발견했다. 해당 공격을 구글링해서 webmin 원격코드 실행 취약점이라는 것을 알아냈다. https://www.cvedetails.com/cve/CVE-2019-15107/ CVE-2019-15107 : An issue was discovered in Webmin

주어진 파일을 압축해제를 하면 eml 파일들이 있다. MiTeC Mail Viewer로 주어진 폴더를 열어보았다. 메일을 각각 확인해 보면, 첨부파일로 zip 파일이 존재했다. 메일에 첨부되어 있는 파일을 모두 추출했다. unzip 명령어를 통해 zip 파일들을 모두 압축해제 했다. 추출된 파일들을 확인해 보니 .docx와 .exe 파일이 있었다. 한눈에 봐도 .docx 형식의 파일이 많았다. 그래서 .exe 파일만 따로 검색해 보았더니 총 6개가 존재했다. 아마도 이 중에서 악성코드가 있을 것 같다. 6개의 파일 중에 becauseq1af2332.exe 파일만 권한이 필요하다. 이 파일이 악성파일인 것 같다. 해당 파일의 SHA256를 구했다. FLAG fiesta{bcb10a8e6250ecb14293..

주어진 가상머신을 VMware에서 실행했다. Documents 폴더를 보면 파일들이 랜섬웨어에 의해 암호화된 것을 볼 수 있었다. 해당 가상머신에서 다운로드 폴더를 확인해 보면, 총 5개의 프로그램을 확인할 수 있다. portry라는 앱이 총 3개(바탕화면 1개, 다운로드 폴더에 2개)가 있는데 그 중 1개가 랜섬웨어로 추정된다. 랜섬웨어의 해시를 구했다. FLAG fiesta{ad1553caa9f56cb7a43927f9d494eacb7df3cdc6d1a01ee3fe3c8ba696e}