偉い人がWriteUpまでがCTFと言っていたので。
解けた気がする奴だけ。
##復習問題##
1 プロキシログの調査
プロキシログを渡すから、不審ホストと通信している端末のIPをSubmitしろという問題
不審ホストが判明しているので、提供されたAccessログからホスト名で検索する。
同列のIPアドレスをSubmit
2 メモリフォレンジック
感染端末のメモリイメージ渡すから不審ホストへ通信しているプロセスのPIDをSubmitしろという問題
volatilityのnetscanからPIDをSubmit
3 タイムライン解析
ディスクイメージを渡すから、ダウンローダーを特定しろという問題
FTK Imagerでddファイルを読み込む。ユーザーのデスクトップに変なファイルがあったからSubmit
4 ダウンローダーの通信先
検体とaccess.logを渡すから、通信先を特定しろという問題
検体をサンドボックスに投げて通信先特定してSubmit
##ログ解析##
1 大量アクセス
アクセスログから大量アクセスしていたIPアドレスを特定しろという問題
テキストエディタで開くと、同じIPで大量のログが残っているのでSubmit
2 SSHによる不正ログイン
SSHのログから不正ログインされたユーザー名を特定しろという問題
AcceptedでGrepしてSubmit
3 シェルのコマンド履歴
シェルのコマンド履歴からダウンロード元を特定しろという問題
historyファイルをテキストエディタで開くとURLがあるのでSubmit
##マルウェア解析##
1 マルウェアの通信先(EXE編)
EXEファイルの通信先を特定しろという問題
他の問題解いてるあいまにサンドボックスに投げて通信先特定してSubmit
2 マルウェアの通信先(JS編)
EXE編と一緒
3 マルウェアの通信先(Link編)
Linkファイルを右クリックしてプロパティを開く。
リンク先にURLがあるのでSubmit
##Forensics##
2 不審USBメモリ
systemレジストリとsetupapi.logが渡されるので、感染源のUSBメモリを特定しろという問題
レジストリビューアでsystemレジストリを読み込む
感染源のUSBメモリ以外に社有のUSBメモリがあるらしい。
丁寧に社有のUSBメモリのシリアルを教えてくれてるので、シルアルで検索すると前後に別のUSBメモリのシリアルが見つかるのでSubmit
##セキュリティ診断##
1 管理者アカウント
特定のWebシステムでアカウントの管理に問題がある。管理者アカウントでログインしてフラグを探せという問題
適当に思い当たるID,Passを入力したらログインできてしまったのでSubmit
2 ユーザー一覧
管理者ページにユーザー一覧が表示できてしまう脆弱性があり、そこに含まれるフラグを探せという問題
SQLiの問題だった。「' ;」で全アカウント表示できるので一覧に含まれるフラグをSubmit
##雑学##
1 NSAの攻撃ツール
WannaCryで使用された攻撃ツール名を答えろという問題
WannaCry NSAでググったら出てくるのでSubmit
2 電子メール詐欺
送金詐欺をアルファベット3文字で何というかという問題
送金詐欺でググったら出てくるのでSubmit
##感想##
・もう少し頑張れたかなと思う。特にフォレンジック系は凡ミスで落とした感じがした
(既に画面に答えがあるのにSubmitする形式が違うとか、見る所が違うとか)
・ツールを事前に準備していたつもりだったけど、起動確認していないものだから.netが足りなかったりと残念な部分が目立った
今回はレンタルパソコンだったせいにして、次回は自前パソコンでがっつりツール入れ込んで参加しようと思う
次回もあれば必ず参加したい。次は今回の1400点を最低ラインとして頑張る!(同じくらいのレベルだったら!)
運営の皆様、参加者の皆様 お疲れ様でした!次回もよろしくお願いします!