[ctf] 이벤트 예약 웹사이트를 운영하고…#A
문제를 다운 받고 FTK imager를 이용해서 열었습니다. 뭔가 가장 열어봄직한 폴더는 weblog였으나 정보가 너무 많아서 다른 폴더의 파일들을 하나하나 열어보면서 의심스러운 부분을 찾았습니다.
그리고 accounts에 history라는 파일에서 뭔가 사용자 명령어 로그같은 내용을 확인했습니다. 노란색 형광펜 쳐진 부분이 var/www/upload/editor/image에 대한 모든 권한을 허용하는 명령어라서 의심스럽다고 생각했습니다.
그리고 프로세스에서 이 경로에 대한 내용을 검색해서 관련된 프로세스 id를 찾았습니다 ( 5244,5245 )
lsof파일은 list open files(열려있는 파일 나열)을 뜻하는 명령으로 운영체제에서 열려있는 프로세스들의 나열이라고 합니다. 여기서 network\lsof에서 PID를 찾을 수 있어서 5244,5245번에 대해 검색해봤습니다. 5244번에서는 눈에 띄는 부분이 없었으나, 5245번에서 TCP 연결에 대한 프로세스를 찾을 수 있었습니다.
▼삽질한 부분
TCP 연결부분이 의심스럽다고 생각해서 해당 ip주소를 웹로그에서 열심히 찾으려했으나 찾을 수 없었습니다. 왜냐면 아래 이유와 같습니다. 위에 두개는 예시고 아래는 웹로그 보는 법입니다. 즉 호스트의 ip로는 뭔가를 찾을 수 없습니다.
웹로그에서 ip로 뭔가를 찾는 걸 그만두고, 초기에 의심스럽던 경로를 검색해봤습니다. 그리고 검색 결과에 걸린 로그들은 다음과 같습니다.
이 중에 어떤 요청인지 대략 알 수있는 로그들을 제외하고 디코딩이 필요할 것 같은 로그들을 추렸을 때, 이렇게 3개였습니다.
- 12.216.97.29 - - [25/Aug/2012:17:26:40 +0900] "GET /upload/editor/image/cmd.php?cmd=cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20 HTTP/1.1" 200 294
- 112.216.97.29 - - [25/Aug/2012:17:19:23 +0900] "GET /upload/editor/image/cmd.php?cmd=bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw%20%20 HTTP/1.1" 200 13318
- 112.216.97.29 - - [25/Aug/2012:17:21:12 +0900] "GET /upload/editor/image/cmd.php?cmd=dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw%20%20 HTTP/1.1" 200 14541
각각을 base64로 디코딩해본 결과 각각 다음과 같았습니다.
- php -f /var/www/upload/editor/image/reverse.php
- ls -al /var/www/upload/editor/image/
- tar -cvf /var/www/upload/editor/image/1330664838 /var/www/
이 중 첫번째 php -f /var/www/upload/editor/image/reverse.php 가 리버스라는 파일을 실행한 내용이기 때문에, 이 실행로그의 시간을 정답으로 썼습니다. [25/Aug/2012:17:26:40 +0900] 이기 때문에 정답에 맞춰 2012-08-25_17:26:40를 입력했습니다.