문제가 주어졌다.
파일을 분석하여 소스코드를 유출한 시간을 알아내는 문제이다.
압축을 풀으니 파일을 다운 받으니 여러 폴더가 생겼다.
파일을 다 열어서 확인해보자!
accounts
에서 history 파일이 눈에 띄었다.
다른 프로그램을 써서 열어야 할 줄 알았는데 더블클릭하니 텍스트 문서로 바로 열렸다.
리눅스에서 입력한 명령어들을 확인할 수 있다.
이 중에서 권한을 설정하는 명령어인 chmod가 의심스럽다.
권한을 설정해준 이 경로를 acces.log에 검색해보면 시간이 나올 것 같다.
/var/www/upload/editor/image
검색 했더니 11개의 결과가 나왔다.
그 중에 cmd.php? 라는 파일이 있는 것을 확인 할 수 있었다.
php는 예전에 웹 페이지 개발할 때 많이 썼던 언어라는 것을 알고 있었다.
의심스러워서 cmd=~~~~ 부분을 base64로 디코딩해보았더니
아래와 같은 결과가 나왔다.
tar -cvf /var/www/upload/editor/image/1330664838 /var/www/
ls -al /var/www/upload/editor/image/
php -f /var/www/upload/editor/image/reverse.php6
php -f 명령어를 사용한 게 굉장히 의심스럽다.
이 부분의 시간이 Flag 값인것 같다.
25/Aug/2012:17:26:40 +0900
이를 Flag 형식에 맞게 바꿔주면 2012-08-25_17:26:40이다.
'Forensic' 카테고리의 다른 글
| [CTF-D] 이벤트 예약 웹사이트를 운영하고... #C (0) | 2022.08.11 |
|---|---|
| [CTF-D] 이벤트 예약 웹사이트를 운영하고... #B (0) | 2022.08.11 |
| [CTF-D] splitted (0) | 2022.08.10 |
| [CTF-D] DefCoN#21 #1 (0) | 2022.08.10 |
| [Network] network_png (0) | 2022.08.09 |
