R4v!dus

level표시와 view-source라는 부분이 눈에 띄인다.

view-source를 눌러 소스코드를 확인해 보자.

소스코드가 보이는데 php와 html로 작성되어져 있다.
검은색 글씨로 된 html 코드는 [그림 1]에 보이는 화면을 나타내는 것이기에 신경을 쓰지 않아도 될거 같다.

<?php> php구문을 한번 살펴 보자 ‘../../’ 2개 위에 위치해 있는 ‘config.php’파일을 불러온다(포함시킨다). 그 다음에는 if문으로 조건을 걸어 주었다.

{$_GET[‘view-source’] == 1} {view_source(); }

$_GET[‘view-source’] 가 1이면 소스코드를 보여준다는 구문이다.

이 구문이 정상적으로 실행이 되어 클라이언트인 나에게 코드가 보여지는 것이다.

*이부분은 유사한 형태로 계속해서 나온다. 뒷 풀이에서는 따로 다루지 않겠다.

if(!$_COOKIE['user_lv']){

SetCookie("user_lv","1",time()+86400*30,"/challenge/web-01/");

SetCookie 형식을 보면 SetCookie(“쿠키명”, “쿠키값”, “만료시간”,“사용가능 위치”); 로 되어있으면 여기서 user_lv라는 값은 쿠키이름을 나타낸다.

만료시간을 보면 약 한 달로 설정되어있다.(86400 = 60 x 60 x 24 즉, 24시간)

이번에는 하단의 <?php> php구문을 살펴보자 쿠키값을 본격적으로 검사하는 구문이다.

if(!is_numeric($_COOKIE['user_lv'])) 쿠키값이 숫자가 아닐 경우 쿠키값을 1로 설정한다라는 구문이며 is_numeric은 변수 값이 숫자인지를 판별하는 구문이다.

기본적으로 쿠키값은 1로 세팅되어져있다.

1.if($_COOKIE['user_lv']>=6) 쿠키 값이 6보다 크거나 같을 경우 $_COOKIE['user_lv']=1;

쿠키값을 1로 세팅한다.

2. if($_COOKIE['user_lv']>5) 쿠키 값이 5보다 클 경우 문제가 풀리다.

위 두 경우가 동시 만족할 때 문제가 풀리도록 설계되어있다.

6보다 크거나 같으면 값이 1이 되고 5보다 클 경우 문제가 풀린다. 그렇다면 어떻게 해야될까

5와 6사이에 값이 쿠키값이 되면 문제가 풀린다! [5 < user_lv < 6]

그렇다면 쿠키값은 어떻게 바꾸는가? 필자는 chrome 확장프로그램으로 EditThisCookie

를 다운 받아 사용하였다.

user_lv 값이 1로 나타나는 것을 볼수 있다. 이 값을 5와 6의 사이값으로 바꿔주면 solve!

난 풀었어서 already solved....

이 문제는 Cookie 개념을 위한 문제인거 같다.

스택(Stack)

스택은 제한적으로 데이터를 액세스 할 수 있으며, FILO(First in Last Out) 구조를 띄고 있다.

스택은 STACK의 탑 부분에서 데이터를 액세스 할 수 있다.

또한 데이터가 액세스 될때 스택의 주소 값은 점차 줄어든다.

(스택은 커널의 반대 방향으로 자라기 때문이다.)

프로세스에서 스택 메모리의 역할

1. 함수 내의 로컬 변수를 임시로 저장한다.

2. 함수를 호출 할 시에 파라미터를 전달한다.

3. 복귀 주소를 저장한다.

PUSH와 POP을 이용해 데이터를 액세스 하며 제일 위에 있는 데이터를 우선적으로 뺀다.

스택포인터(SP)

중앙처리 장치 안에는 스택에 데이터가 채워지면 그 위치를 가리키는 레지스터인 스택 포인터(SP)가 있다.

STACK은 PUSH와 POP에 의해 액세스 되며 그에 따라 스택 포인터의 값이 증가하거나 감소한다.

스택 프레임(Stack Frame)

스택 프레임은  ESP(Stack Pointer)가 아닌 EBP(Base Poinet)를 사용하여 스택 내의 로컬 변수, 파라미터, 복귀 주소에 접근하는 기법이다.

ESP는 프로그램 안에서 위치가 매번 변하기 때문에 기준점을 잡고 MOV EBP , ESP와 같이 어셈블리어를 사용하여 ESP 값이 EBP에 저장되게 한다.

간단한 코드를 예로 들어보겠다.

시작하자마자 메인 함수는 스택 프레임을 생성시킨다.

1. long a, long b는 main 함수의 로컬 변수 이므로 스택에 공간을 만들고 값(1과 2)을 입력한다.

2. printf()함수를 스택에서 처리한다(역순으로 처리 하기 때문에 b, a, add()순으로 스택에 들어간다.).

3. add 함수를 호출하고 add함수 스택프레임에 x, y를 공간을 만들어 저장하고 값(x=a=1, y=b=2)을 입력한다.

4. 결과 값을 메인함수에게 돌려주고 printf() 처리 완료 및 add 함수 스택 프레임을 지운다.

5. main 함수를 처리한다.

main함수에서 add함수를 호출하고 add함수의 일련의 과정을 처리한 후 main함수 스택 프레임으로 돌아온다.

큰흐름은 5가지 단계이니 이를 참조하여 디버깅 툴을 사용해 직접 확인해보는것이 좋을 듯하다.

레지스터란 CPU 내부에 존재하는 다목적 저장 공간이다.

리버싱 초급 단계에서 디버깅을 잘하려면 디버거가 디스어셈 해주는 어셈블리 명령어를 잘 알아야 한다.

어셈블리 명령어는 레지스터를 다루기에 필수불가결하다.

IA-32는 지원하는 기능 뿐만 아니라 레지스터의 수 또한 엄청나다.

워낙 많기에 하나하나 다 나열하기에는 무리가 따른다. 

디버깅 할때 가장 많이 보게 될 레지스터인 Basic program execution register를 다루어 보겠다.

※본인이 관심이 있고 더 알고 싶다면 Control registers, Memory management registers를 공부하는것도 좋다.

Basic program execution register은 4개의 레지스터로 나뉘어진다.

범용 레지스터, 세그먼트 레지스터, 프로그램 상태와 컨트롤 레지스터, Instruction Pointer

범용 레지스터는 32비트 8개

세그먼트 레지스터는 16비트 6개

프로그램 상태와 컨트롤 레지스터는 32비트 1개

Instruction Pointer는 32비트 1개로 되어 있다.

범용 레지스터

General purpose register는 말 그대로 범용적으로 사용되는 레지스터이다.

IA-32에서는 32비트로 이루어 져있다.

레지스터의 각각의 이름은 32-bit에 적힌대로이다.

16-bit AX에서 32비트로 크기가 커지면서 앞에 Extended를 붙여 EAX가 된것이다.

EAX, EBX, ECX, EDX는 산술연산에 주로 사용된다.

EAX는 일반적으로 함수 리턴 값에 사용되며 ECX는 반복문 명령어에서 반복 카운트로 사용된다.

EBP, ESI, EDI, ESP는 메모리 주소를 저장하는 포인터로 사용된다.

ESP는 스택 메모리 주소를 가리킨다.

EBP는 함수가 호출되었을때 그순간의 ESP를 저장하고 있다 함수가 리턴되기 직전에 값을 돌려준다.

(이것을 Stack Frame기법이라고 하며 stack pointer와 base pointer는 굉장히 중요하기에 추후에 따로 다루도록 하겠다.)

ESI와 EDI는 메모리 복사에 사용된다.

세그먼트 레지스터

세그먼트(Segment)란 IA-32의 메모리 관리 모델에서 나오는 용어이다.

IA-32 보호 모드에서 세그먼트는 메모리를 조각내어 각 조각마다 시작주소, 범위, 접근 권한 등을 부여해서 메모리를 보호하는 기법이다. 

세그먼트 레지스터는 총 6개가 존재한다.  

CS Code Segment (16비트)

SS Stack Segment (16비트)

DS Data Segment (16비트)

ES Extra(Data) Segment (16비트)

FS Data Segment (16비트)

GS Data Segment (16비트)

ES, FS, GS 세그먼트는 추가적인 데이터 세그먼트 이다. 마지막으로 FS 레지스터는 애플리케이션 디버깅에도 자주 등장하게 되는데 SEH, PEB등의 주소를 계산할 때 사용된다. 이는 추후 포스팅에서 다루도록 하겠다.

프로그램 상태와 컨트롤 레지스터

플래그 레지스터의 이름은 EFLAGS이며 32비트 크기이다.

EFLAGS 레지스터는  각 비트마다 의미를 가진다. 각 비트는  1 또는 0의 값을 가진다.(True or False)

저 많은 걸 한번에 다 외우려 하지 말고 우선적으로 사용되는 ZF, OF, CF만 다루어 보도록 하자.

Zero Flag(ZF)

연산 명령 후에 결과값이 0이 되면 ZF가 1(True)로 세팅 된다.

Oerflow Flag(OF)

부호 있는 수(signed integer, 실수)의 오버플로가 발생했을 때 1로 세팅 된다. MSB가 변경되었을 때 1로 세팅된다.

Carry Flag(CF)

부호 없는 수(unsigned integer, 정수)의 오버플로가 발생했을 때 1로 세팅된다.

Instruction Pointer

CPU가 처리할 명령어의 주소를 나타내는 레지스터이며, 크기는 32비트이다. CPU는 EIP에 저장된 메모리 주소의 명령어를 하나 처리하고 난 후 자동으로 그 명령어 길이만큼 EIP를 증가시킨다.

사진참조 http://www.intel.co.kr/content/www/kr/ko/architecture-and-technology/64-ia-32-architectures-software-developer-manual-325462.html

바이트 오더링은 데이터를 저장하는 방식을 말하며 디버깅을 할때 필요한 기본 개념이다.

이 방식은 크게 빅 엔디언(Big Endian)과 리틀 엔디언(Little Endian) 두 방식이 있다.

엔디언 방식에 따라서 데이터를 저장하는 방식이 달라진다.

※ [61]은 'a'를 ASCII 문자로 나타낸것이다. 문자열의 마지막은 NULL로 끝나야 한다.

빅 엔디언 방식은 순착적인 반면 리틀 엔디언 방식은 역순으로 나타난다.(바이트 자체는 정상적인 순서로 저장된다.)

2바이트 혹은 4바이트와 같이 멀티 바이트인 경우에 바이트가 역순으로 저장되는 것이다.

str 문자열은 char 배열이기 때문에 바이트를 하나씩 연속해서 저장한다. 따라서 Endian 형식과 상관이 없다. 

네트워크를 공부하다 보면 방화벽을 자주 접하게 된다. 그렇다면 방화벽이란 무엇 일까?

 방화벽 일명 Firewall은 정의해 놓은 보안 규칙에 기반하여 송수신되는 네트워크 트래픽을

모니터링하고 제어하는 보안 시스템이다. 일반적으로 방화벽을 기점으로 신뢰성 높은 내부 네트워크와

신뢰성 낮은 외부 네트워크(ex:인터넷)로 나뉜다.

 방화벽의 기본 역할은 앞서 설명 했듯 네트워크 트래픽을 모니터링 하여  기준에 따라 트래픽을 차단하거나

허용해 주는 일을 한다.

방화벽 종류

1. 패킷 필터링

 미리 설정을 하여 패킷이 지나갈시 설정된 정책에 맞지 않을 경우 통과시키지 않도록 하는 것을 패킷 필터라 한다. 방화벽에 규칙 또는 정책을 설정하여 보호하고자 하는 네트워크에 원치 않는 패킷의 접속을 막는다. 패킷을 다룬기 때문에 OSI 7계층 중 3계층 단에서 패킷을 검사하여 접속 제어를 하는 방화벽이다. 

 또한, 패킷 자체를 볼지 패킷이 속한 TCP, UDP 세션을 볼지에 따라 두종류로 나뉜다. 패킷 만을 본다면 내부적으로 관리할 필요가 없기에 스테이트리스, 무상태 방화벽이라하며 패킷이 속하는 세션을 관리하여 동일 세션에 속하는 패킷들도 관리하는 것을 스테이트 풀 방화벽이라 한다.

2. 어플리케이션 게이트웨이 방식

 어플리케이션 방화벽은 OSI7계층 중 7계층에서 동작하며 지나가는 패킷의 헤더 안 Data 영역 까지도 체크하여 통제 한다.

어플리케이션 게이트웨이 방화벽은 보통 서비스별로 프록시라는 통신 중계 프로그램이 있어 각각에 대한 연결 요청을 처리해준다. 프록시라는 방화벽에 의해 외부와 내부의 직접 연결이 허용되지 않아 보안성이 뛰어나다. 

3. 서킷 게이트웨이 방식

 서킷 게이트웨이 방화벽은 OSI 7계층 중 5~7 계층 사이에서 접근제어를 실시하는 방화벽을 말하며 어플리케이션 방식과는 다르게 하나의 대표 프록시를 통해 각 서비스를 연결한다.

 서킷 게이트웨이(Circult Gateway) 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에  수정된 클라이언트 프로그램이 필요하다. (클라이언트 프로그램은 방화벽에 위치한 대표 프록시와 통신하는 역활을 우선적으로 수행한다.)

 클라이언트 프로그램은 모든 통신에 앞서 방화벽에 있는 프록시와 연결을 맺고 안전한 통신채널인 서킷(Circult)을 구성한 후 이 서킷(Circult)을 통해 내부 시스템과 통신을 한다. 

4. 상태기반 감시 방식

 패킷 필터링 방식과 어플리케이션 게이트웨이 방식의 단점을 보완하고 장점만을 구현화한 방화벽이다.

네트워크 계층에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하며 프로토콜 특성에 따른 변화를 동적으로 대응한다.

 이 방화벽은 서비스에 대한 접근 규칙을 생성할때 되돌아 나가는 flow에 대한 접근규칙은 설정하지 않아도 된다.

아래 사이트를 참고하여 공부한 것을 정리해 보았다.

참조 Packet Filtering, Application Gateway, Circult Gateway, Stateful Inspection

 디지털 포렌식을 공부하다 보면 아티팩트(Artifact)라는 단어를 많이 접한다.

아티팩트(Artifact)와 윈도우 아티팩트(window Artifact)가 의미하는 것이 무엇일까?

 사전에서 아티팩트(Artifact)란 유물을 의미한다.

디지털 포렌식에서 아티팩트(Artifact)는 운영체제 및 어플리캐이션을 동작시켰을때 남게 되는 흔적을 말한다.

 포렌식 - 아티팩트(Artifact)

시스템에서 생성되는 증거는 2가지 종류가 있다.

1.생성 증거 : 프로세스, 시스템에서 자동으로 생성되는 데이터

2.보관 증거 : 사람이 기록하기 위해 직접 작성한 데이터

이중 아티팩트(Artifact)는 전자에 해당된다.

윈도우 아티팩트(Window Artifact)

 윈도우의 여러 기능들과 그 기능을 구현하는데 필요한 요소들(파일 및 레지스트리 등)로 부터 찾을 수 있는

여러 정보를 말한다.

시간과 날짜

 (South Bridge 칩에 내장됨, 주파수를 통해 정기적으로 날짜와 시간 계산, 컴퓨터가 꺼진후에도 시간 기록 가능)

시스템 시간

 (RTC가 아닌 소프트웨어적 방법으로 시간 유지)

표준 시간대

 (UTC) 

 윈도우 시스템의 생성 증거(아티팩트)는 웹 아티팩트, 프리/슈퍼패치, 이벤트 로그, 휴지통 등이 있다.

하나씩 살펴보도록 하자.

List

• 파일 시스템 아티팩트
• 웹 아티팩트
• 이벤트 로그
• 프리/슈퍼 패치
• 바로가기 (short cut)
• 점프리스트
• 시스템 복원 지점
• 시스템 로그
• 휴지통
• 시스템 임시 폴더
• 미리보기 썸네일
• 윈도우 검색 데이터베이스
• 기타 아티팩트(스티커메모, 프린터 스폴링 파일)

파일 시스템 아티 팩트

 파일 시스템은 파일이나 자료에 접근하여 활용할 수 있도록 내용을 조직하는 체계를 의미한다. 운영체제에 따라 사용하는 파일 시스템의 종류가 다르다. 파일 시스템은 저장장치와 운영체제의 구성과 관련되기에 굉장히 많은 종류가 존재한다. 윈도우 계열에서 주로 사용된는 파티션에 의해 NTFS는 아티팩트를 분석할 때 함께 분석하는 경우가 많다.

 NTFS에서는 파일 형태의 메타데이터 관리 방법을 사용하는데 이는 아티팩트를 수집 할때 편리하게 메타 데이터 까지 수집 할 수 있다.(일반적으로는 파일 시스템은 메타데이터 영역과 실제 파일 데티어 영역을 분리하여 관리한다.) 

 파일 시스템의 메타 데이터는 계층 구조, 파일의 시간 정보, 속성 정보 들을 한꺼번에 관리하고 있기에 분석에 편리함을 제공해준다.

웹 아티팩트

 웹 브라우저를 이용하면 방문하는 웹 페이지의 구현 상태에 따라 다양한 흔적이 남게 된다. 주로 Web History, Cache, Cookie, Download File List 통해 웹 사용 내역을 조사한다.

이벤트 로그

 윈도우의 운용과정에서 발생하는 특정 동작(이벤트)를 체계적으로 기록한 바이너리 로깅 시스템이다. 이벤트 로그에서는 시스템의 전반적인 동작을 종합적이고 체계적으로 기록한다.

프리/슈퍼 패치

 윈도우는 프리패치 파일에 실행 파일이 사용하는 시스템 자원을 미리 저장하였다가 윈도우 부팅 시 .pf파일을  모두 메모리에 적재 한후 메모리 메핑만을 수행하여 사용할 수 있도록 하였다.( 보조장치와 주기억 장치의 I/O속도 차이에 따른 문제를 극복하고자 사용함)

 프리 패치 파일을 분석해서 얻을수 있는 정보로는 실행파일이름, 실행파일의 실행횟수, 실행파일의 최근 실행 시간, 프리패치 패일의 생성 시간, 실행된 볼륨의 정보, 실행파일 실행시 참조하는 파일의 목록 이다.

 프리패치의 사용은 메모리의 페이징 아웃 기법에 의해 동작하지 않을 때가 있다 이를 해결하기 위해 있는 것이 슈퍼패치이다.

슈퍼패치는 사용자의 프로그램 사용 패턴을 기록하여 자주 사용할 수록 지속적으로 메모리 로드하는 목적으로 존재한다.

바로가기 (short cut)

 바로가기(short cut)는 다른 파일의 정보(경로, 시간, 정보 등)을 포함하는 또 다른 작은 파일로, 주로 대상 파일을 사용자가

접근하기 편한 경로에 생성되는 파일이다.  바로가기 파일을 OS 설치 시점, 응용프로그램 설치 시점, 문서 파일 열람 시점에 자동으로 생길수 있다.

점프리스트

 점프리스트는 바로가기의 상향 버전이라고 할 수 있다. 바로가기는 특정 개체에 대한 정보와 실행 경로를 제공해주는데에 반해 점프리스트는 Recent(최근 항목), Frequent(자주 사용하는 항목), Tasks(작업), Pinned(사용자 고정) 라는 정보를 추가적으로 저장한다.

시스템 복원 지점

시스템 복원지점은 운영체제 재설치 없이 시스템을 백업한 과거의 특정 시점으로 복원하는 기능으로 운영체제 설치 시 기본으로 활성화 되어 있다.

시스템 로그

윈도우는 이벤트 로그를 가지고 있지만 서브시스템 별로 로그를 따로 관리하기도 한다. txt 형태로 되어 있어 열람이 쉬운 편이며  무모한 양의 로그를 기록하지 않으므로 상대적으로 분석하기 용이한다.

휴지통

 휴지통은 많은 사람들이 사용해봤을 것이다.(실제로 필자도 휴지통 복구로 포렌식을 처음 접하였다.)  파일 시스템 적 관점으로 보았을 때 휴지통은 디렉터리에 불과하다. 다만 이 디렉터리에 대한 접근이 휴지통을 통해서만 가능할 뿐이다. 휴지통으로 파일을 삭제하는 것은 관련된 메타 정보만을 변경하는 것이지 실제 파일은 그대로 남겨둔다.

시스템 임시 폴더

 임시로 사용된는 파일이나 폴더가 저장되는 경로로, 인터넷에 다운로드 받은 파일을 저장 않고 실행 할때 사용되는 곳이다.

(Temp 파일) 그러다 보니 여러 유형의 파일들이 규칙없이 산재되어 있고 이를 악용한 악성코드들이 은닉되어 있을 수도 있다.

미리보기 썸네일

 미리보기 파일은 썸네일이라고도 불린다. 이는 윈도우 미디어 파일에 대한 미리보기 데이터베이스 파일을 의미한다.

미리보기를 수행 할 시 운영체제에 의해 자동으로 생성되며 원본파일이 삭제되더라도 데이터베이스 내부의 미리보기 파일은 삭제되지 않고 잔존한다.

윈도우 검색 데이터 베이스

 윈도우 검색은 색인을 사용하여 빠르게 검색할 수 있도록 해준다. Windows.edb 파일에는 색인 정보가 저장된다. 윈도우 버전마다 Windows.edb의 경로가 달라진다.

기타 아티팩트(스티커메모, 프린터 스폴링 파일)

 분석에 도움을 주는 모든 정보에 관련한 데이터는 시스템 아티팩트로 취급될수 있다.

보다 자세히 알고 싶은 사람은 필자가 공부하였던 아래 사이트가 도움이 될 것이다.

참조 http://portable-forensics.blogspot.com/