hmyang444 님의 블로그

XSS 공격과 우회방법

hmyang444 — Tue, 19 May 2026 11:47:04 +0900

1. xss 공격 유형

Reflected XSS:
사용자가 입력한 값이 서버를 거쳐 화면에 즉시 반사되는 형태. 주로 악성 링크를 클릭하도록 유도하는 피싱 공격에 쓰인다.
(xss-1 드림핵 문제가 반사형 XSS인 것을 확인할 수 있다.)

Stored XSS:
게시판 글이나 댓글처럼 악성 스크립트가 서버 데이터베이스에 저장되는 형태. 해당 게시글을 읽는 모든 사용자가 공격 대상이 되므로 파급력이 가장 크다.

DOM-based XSS:
서버를 거치지 않고, 브라우저가 자바스크립트로 HTML(DOM)을 동적으로 제어하는 과정에서 발생하는 형태. 브라우저 단에서 실행되므로 서버 방화벽으로 탐지하기 어렵다.

2. 세션 하이재킹과 쿠키 보호 조치

세션 하이재킹: 쿠키를 탈취해 다른 사람의 계정으로 로그인하는 행위

---> 이를 막기 위한 다양한 보안 옵션이 있음

HttpOnly Flag: 자바스크립트(document.cookie)로 쿠키에 접근하는 것을 원천 차단합니다. XSS가 터지더라도 쿠키만큼은 지킬 수 있는 가장 강력한 방법이다.
Secure Flag: HTTPS(암호화 통신) 연결일 때만 쿠키를 전송하도록 제한한다.

SameSite: 교차 사이트(Cross-Site) 요청 시 쿠키 전송 여부를 결정하여 CSRF 공격을 방어한다.

3. XSS 필터링 우회 기법 (Bypass)

현업의 서비스들은 대부분 <script> 같은 위험한 태그를 막아두는 필터링(방화벽)이 적용되어 있다.

그렇다면 이를 우회하는 방법을 알아보자

대소문자 섞어 쓰기: <sCrIpT>
이벤트 핸들러 활용: <img src=x onerror=...> 외에도 <svg onload=...>, <body onload=...>
태그 난독화 및 중첩: <sc<script>ript> (서버가 내부의 script를 한 번 지우면 바깥쪽이 합쳐져서 실행됨)

4. XSS의 근본적인 방어 대책

HTML Entity Encoding: 사용자가 입력한 문자 중 위험한 특수문자(<, >, ", ', & 등)를 안전한 텍스트 기호(<, >, " 등)로 변환하여 브라우저가 코드가 아닌 단순 문자로 인식하게 만듭니다.
CSP (Content Security Policy): 웹 페이지에서 실행할 수 있는 스크립트의 출처나 종류를 제한하는 브라우저 보안 정책입니다. XSS가 발생하더라도 사전에 허가되지 않은 외부 스크립트의 실행을 차단할 수 있습니다.

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    driver = None
    try:
        service = Service(executable_path="/usr/local/bin/chromedriver")
        options = webdriver.ChromeOptions()
        options.binary_location = "/usr/bin/google-chrome"
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        # return str(e)
        return False
    finally:
        if driver is not None:
            driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

(1) check_xss

사용자가 입력한 param값을 인자로 가진 url을 만들고 그걸 읽는거지

def check_xss(param, cookie={"name": "name", "value": "value"}):
    # 사용자가 입력한 param을 파이썬 내부에서 quote()로 감싸서 URL을 만듭니다.
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)

(2) 코드 비교

vuln코드는 param의 값을 그대로 출력하고 있음

--> 결과적으로 서버가 html 코드라고 생각해서 코드를 실행해버리면 xss공격에 당하게 되는 것

memo코드는 render_template을 이용해서 memo.html에서 출력하고 있음

--> 화면에 그대로 뜨는거니까 공격 코드가 실행되지 않음(보안 높음)

@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param  

@app.route("/memo")
def memo():
    ...
    return render_template("memo.html", memo=memo_text)

최종 정리(판결문)

hmyang444 — Sun, 17 May 2026 20:26:38 +0900

대법원 2023도17590 및 광주지방법원 2025노2116 (최종 무죄)

1) 사건 개요 (A씨와 B씨 사이의 사건 전개)

A씨 (피고인): 전남 나주 D농협의 전 경제상무 (2014년 1월 퇴사)
B씨 (피고소인): D농협의 현직 조합장
사건 전개:
1. 2014년 2월, 퇴사한 A씨가 산악회 기부행위로 인해 조합장 B씨 측으로부터 공직선거법 위반으로 먼저 고발을 당함.
2. 2014년 8월, A씨는 B씨가 조합원들에게 수박을 돌리고 개인 명의로 축·부의금을 보내는 등 농업협동조합법을 위반했다며 '맞고발'을 진행함.
3. 이 과정에서 A씨는 재직 시절 확보해 둔 CCTV 녹화자료 및 B씨의 이름, 주소, 계좌번호 등이 담긴 꽃배달내역서, 거래내역확인서 등을 수사기관에 증거로 제출함.

2) 사실 원인 및 문제점 정리

제3자 정보 포함: 제출된 증거 자료에는 피고소인(B씨)뿐만 아니라 돈을 송금받은 중도매인, 조합원 등 사건과 아무 상관 없는 수많은 제3자의 개인정보가 필터링 없이 포함되어 있었음.
사적 동기 의혹: A씨는 향후 조합장 선거 출마를 염두에 두고 토론회 등에서 자신에게 유리하게 사용할 목적으로 재직 시절 해당 자료들을 수집·보관해 왔음.

3) 보도자료 및 행정처분

본 사건은 수사기관에 증거를 제출한 행위가 개인정보보호법상 형사처벌 대상인 '누설'에 해당하는지를 두고 8년간 공방을 벌인 끝에 최종 무죄를 확정받은 사건

행정처분 및 관련 법령 (형사 책임)

1) 개인정보처리자의 위반 행위

B씨(조합장)의 범죄 사실을 입증하기 위해, 업무상 알게 된 조합 내부 자료(CCTV, 금융 거래 전표 등)를 정보주체의 동의 없이 외부(수사기관)에 무단 유출함.

2) 위반 법 조문

개인정보 보호법 제59조(금지행위) 제2호: 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다.
개인정보 보호법 제71조(벌칙) 제5호: 제59조 제2호의 규정을 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다.

소송 (형사 소송 경과)

심급	사건 번호	판결 결과	주요 판단 근거
원심 (1심)	2017고정445	유죄 (벌금 500만 원)	부정한 목적이 없어도 '누설' 자체로 처벌 가능. 법률의 착오나 정당행위 불인정.
항소심 (2심)	2017노2205	무죄	수사기관에 증거를 내는 것은 '누설'이 아님. 이를 처벌하면 국민의 수사 협조가 위축됨.
상고심 (대법원)	2018도1966	유죄 취지 파기환송	수사기관에 냈더라도 동의가 없었다면 법리적으로 '누설'은 맞음. 2심이 법리 오해함.
환송 후 2심	2022노2565	유죄 (벌금 500만 원)	대법원 취지에 따라 유죄 판결. 사적 선거 목적이 크고 보충성이 없어 정당행위 부정.
재상고심 (대법원)	2023도17590	무죄 취지 파기재환송	'누설'은 맞지만 '정당행위'에 해당하기에 처벌할 수 없음. 실질적 공익성과 현실적 불가피성 인정.
최종 판결	2025노2116	무죄 확정	대법원의 정당행위 법리를 수용하여 최종 무죄 판결.

1) 원고(검사)의 주장

과거 판례(구 공공기관 개인정보보호법)에 비추어 볼 때, 동의 없이 타인의 정보를 알지 못하는 자(수사기관)에게 넘긴 것은 명백한 누설이다. 사적 보관 목적이 뚜렷하므로 처벌해야 한다.

(1) 구법과 신법의 본질적 취지 동일성

2011년 「공공기관의 개인정보보호에 관한 법률」이 폐지되고 통합된 「개인정보 보호법」이 제정되었으나, '개인정보의 누설을 금지하여 정보주체를 보호하겠다'는 본질적인 입법 취지와 목적은 전혀 변하지 않았다. 법 조문의 표현은 일부 달라졌을지라도, 궁극적으로 개인정보를 함부로 퍼뜨리지 말고, 직무상 알게 된 정보를 남용하지 말라는 지향점은 신·구법이 완벽히 일치한다.

(2) 실질적 구성요건의 동일성

현행 개인정보 보호법 제71조 제5호, 제59조 제2호 위반죄는 구법 제23조 제2항, 제11조 위반죄와 비교했을 때, 범행 주체가 '공공기관 직원'에서 '일반 개인정보처리자'로 확장되고 조문에서 '부당한 목적'이라는 표현이 삭제되었을 뿐, 나머지 행위 형태와 구성요건은 실질적으로 동일하다.

(3) 수사기관 제출 행위 역시 명백한 '누설'

구법과 신법에서 '누설'이란 "아직 해당 개인정보를 알지 못하는 타인에게 이를 알려주는 일체의 행위"를 의미한다. 아무리 범죄를 수사하는 국가기관(수사기관)이라 할지라도, 고소·고발 단계에서는 피고소인의 개인정보를 알지 못하는 '타인'에 불과하다.
따라서 고소장에 다른 정보주체의 개인정보를 첨부하여 경찰서에 제출할 때,
① 정보주체의 동의를 받지 아니하고,
② 관련 법령에 정한 적법한 절차(영장 등)를 거치지 않았다면,
이는 예외 없이 개인정보의 ‘누설’에 해당한다.

(4) 사적 보관 및 남용에 따른 처벌 필요성

피고인은 과거 상무 재직 시절 업무상 알게 된 CCTV, 꽃배달 내역 등의 개인정보를 퇴사 후까지 사적으로 보관하고 있었다. 수사기관에 정보를 제공하는 것 자체가 무조건 금지되는 것은 아니며, 압수수색 영장이나 법적 사실조회 등 '합법적인 절차'를 밟아 가져오게 했어야 마땅하다.
그럼에도 불구하고 피고인은 향후 조합장 선거 출마라는 사적 이익을 위해 자료를 무단 반출·보관하다가 고소장에 마음대로 적어 유출했으므로, 이는 명백히 처벌받아야 하는 위법 행위이다.

2) 피고인(A씨)의 주장

변호사 자문을 거쳐 공익적 비위를 고발하기 위해 수사기관에 증거로 제출한 것이므로 위법성이 조각되는 정당행위(형법 제20조)에 해당한다.

3) 대법원 및 최종 판결 요지 (무죄 판정 5대 요인)

"법을 위반한 '누설'은 맞으나, 사회상규에 위배되지 않는 '정당행위'이므로 처벌할 수 없다."

공익성: 제보를 통해 실제 조합장의 불법 행위가 밝혀져 처벌됨으로써 조직의 투명성이 제고됨.
민감정보가 아님: 공개된 장소의 CCTV 및 꽃배달 내역 등은 사생활을 심각하게 침해하는 민감정보가 아님.
제한성: 일반 대중이 아닌 비밀 준수 의무가 있는 '수사기관'에만 한정적으로 제공되어 재유출 위험이 낮음.
현실성: 고소·고발 시 증거물 내 피고소인의 개인정보를 일일이 동의받고 제출하는 것은 현실적으로 불가능함.
이익 비교형량: 침해된 개인정보의 권리보다 '깨끗한 선거와 조합 운영'이라는 사회적 이익이 훨씬 큼.

수행팀 의견

[1] 결과론적 무죄 판결의 문제점?

이번 판결은 '실질적 정의'와 '공익 실현'을 위해 형법상 정당행위를 폭넓게 인정해 준 사례라고 볼 수 있다. 그러나 이는 결과가 성공하면 정당행위로 무죄, 실패하면 개인정보보호법 위반 유죄가 되는 위험한 선례를 남긴 것이라고 볼 수도 있다.
특히 내부 직원이 퇴사 시 공익 제보용이라는 주관적 명목으로 기업의 데이터나 CCTV 영상을 사적으로 보관하는 행위에 면죄부로 오용될 수 있으며, 이는 기업의 데이터 반출 방지(DLP) 정책 등 내부 통제 시스템을 무력화할 우려가 있다.

[2] 데이터 보관 방식의 위법성

개인정보보호법 제21조 및 제25조에 따르면 CCTV 영상은 목적 달성 후(통상 30일 이내) 파기되어야 마땅하다. 퇴사한 상무가 이 영상을 사적 매체에 지속해서 보관하고 있었다는 점은 명백한 기술적·관리적 보호조치 위반이다.
만약 A의 저장매체가 해킹당하거나 분실되어 유튜브나 온라인 커뮤니티 등 제3자에게 2차 유출되었다면 사생활 침해로 이어졌을 것이다. 법원이 고발의 정당성에만 매몰되어 데이터 보관 방식의 위법성을 지나치게 경시한 것은 정보보호 측면에서 아쉽다고 느껴진다.

[3] 대법원이 제공 대상을 '수사기관'으로 한정한 이유

대법원이 이례적으로 정당행위를 인정한 핵심 배경은 정보의 도달처가 '수사기관'이었기 때문이다. 만약 피고인이 이를 유튜브나 언론에 폭로했다면 법적 판단이 내려지기도 전에 마녀사냥 등 심각한 사회적 파장을 낳았을 것이다. 이는 정보보호와 개인의 권리 보장을 위해 사적 구제가 아닌 공적 제도를 이용해야 한다는 법원의 최소한의 가이드라인으로 해석된다.

[4] 디지털 증거 확보 방법 필요

일반 개인이 구체적인 증거 없이 말로만 고발하면 수사기관이 착수하지 않는 것이 현실이다. 따라서 개인이 위험하게 데이터를 사적 복제·유출하도록 방치할 것이 아니라, 다음과 같은 안전하고 적법한 기술적/제도적 창구가 마련되어야 한다.
- 공익신고 전담 플랫폼 및 증거보존신청 제도 활성화: 국가 기관에 해당 플랫폼의 로그나 CCTV 자산에 대한 '증거보존'을 즉시 신청할 수 있는 간소화된 시스템 프로세스 구축
- 수사기관 제출용 자동 마스킹 툴 제공: 고발자가 증거를 제출할 때 사건과 무관한 제3자의 정보(얼굴, 타인 계좌 등)를 손쉽게 비실명화하여 제출할 수 있는 보안 솔루션 개발

5. 마무리

(추후 팀원들의 추가 의견과 토론 내용을 종합하여 최종 결론 작성 예정)

File Carving(+method)

hmyang444 — Sat, 16 May 2026 21:56:47 +0900

파일 카빙( File Carving )이란?

파일 카빙은 파일 시스템의 메타데이터 없이, 파일 자체의 고유한 바이너리 시그니처(헤더와 푸터)를 기반으로 데이터를 추출하고 재조립하여 복구하는 디지털 포렌식 기술이다.

왜 파일 카빙이 필요한가?

파일 시스템 손상: 디스크 래핑, 포맷, 비정상적인 종료 등으로 인해 파일 시스템 자체가 완전히 깨졌을 때
의도적인 은닉: 범죄 용의자가 증거를 인멸하기 위해 파일 시스템 영역을 변조하거나, 파일 확장자를 강제로 변경했을 때

--> CTF 문제를 제작할 때는 의도적으로 은닉 방법을 사용하게 됨!

미할당 영역 분석: 삭제된 파일이 머물러 있는 디스크의 빈 공간에서 유의미한 데이터를 얻어야 할 때

파일 카빙에서 비연속적 할당

파일 카빙 문제에서 제일 중요하다고 볼 수 있는 것이 이 문제이다.

파일 카빙의 다양한 방법들인 시그니처 기반, 구조체 기반 카빙은 모두 파일 데이터가 디스크에 연속적으로 저장되어 있다는 가정하에 작동하는 것이다. 하지만 그렇지 않은 경우! 파일이 조각나서 저장되는 비연속적 할당이 발생한다면 문제가 생긴다.

문제점: 헤더 시그니처를 찾아서 데이터를 쭉 읽어가는데, 중간에 다른 파일의 데이터가 끼어있거나 진짜 데이터는 디스크의 다른 저 멀리 떨어져 있는 곳에 저장되어 있다면?
결과: 복구된 파일이 깨지거나, 다른 파일과 섞여서 열리지 않는 현상이 발생함

시그니처 기반 파일 카빙

각 파일의 고유 시그니처를 이용해 파일을 카빙하는 방식

시그니처에는 헤더(Header)와 푸터(Footer)시그니처가 존재하는데, 이 시그니처를 이용해 파일의 종류를 파악한 후 숨겨진 데이터를 찾아내거나 복구할 수 있는 것이다.

<다양한 파일 시그니처>

CTF 문제 제작 아이디어

(1) 기본 시그니처 결합

말그대로 두 가지의 시그니처를 결합하는 방식

정상적인 이미지 파일(egg.png) 뒤에 플래그가 적힌 파일(flag.zip)을 통째로 붙여버리는 방식

제작 방법

- 리눅스 명령어: cat egg,png flag.zip > chicken.png

- 윈도우: copy /b egg.png + flag.zip chicken.png

결과: 두 파일이 합쳐진 하나의 png 파일이 나온다

의도: 플레이어가 파일의 헤더를 보고 PNG인 걸 알았지만, HxD로 열어보니 맨 뒤에 ZIP 파일의 헤더 시그니처(50 4B 03 04)와 푸터가 있는 것을 발견하고, 이를 직접 잘라내거나(Carving) 카빙 툴을 돌려 획득하도록 하는 것

그렇다면 합쳐진 사진은 제대로 보이나??

찾아보니까 이미지 뷰어 프로그램들은 사진 파일을 열 때 파일의 전체 크기를 보지 않고, 오직 PNG 시그니처의 규칙만 보고 작동한다고 함! 그래서 그 뒤에 붙어있는 flag.zip 데이터가 무엇이든 간에, 이미지 뷰어 입장에서는 PNG의 IEND 뒤에 있는 데이터들은 쓰레기 데이터로 취급하기 때문에 무시하고 앞의 egg.png 사진만 깔끔하게 띄워준다!(이부분은 걱정X)

실행해보니까

jpeg 푸터 시그니처 이후 바로 zip파일 시그니처인 PK가 보임

압축해제하면..내가 넣어둔..과외자료ㅎ

무튼 이렇게 하면 됨--> 이렇게 만드는 건 쉬움!!

(2) 파일 구조체 변조 (훼손된 시그니처)

헤더나 푸터 시그니처, 내부 크기 정보를 임의로 수정하는 방식

--> 내부 크기 정보도 예전에 풀었던 width랑 height 크기를 다르게 만들어서 flag 숨겨두고... 그런 문제가 기억나긴하네요...ㅎ

제작 방법(1)

- PNG 파일의 헤더(89 50 4E 47)를 AA BB CC DD 같은 엉뚱한 값으로 바꾸기

의도: 일반적인 자동 카빙 툴은 헤더 시그니처 기반이라 이 파일을 못 찾아낸다고 함. 하지만 이 이미지파일을 HxD로 훑어보다가, 파일 중간에 PNG의 청크 데이터(IHDR, IDAT 등) 구조를 발견하고 PNG파일인 것을 깨닫고 헤더를 복구한 뒤 카빙해가는 것

대충 느낌만 이렇게!

PNG의 헤더 시그니처를 아예 다른 값으로 없애버리고 IHDR, IEND 이런 정보만으로 찾을 수 있도록 하는거지

그대신 헤더를 망가뜨리면 해당 png파일은 형식이 이상하다고 열리지는 않음(이건 좀 많이 쉬울 수도 있겠다)

아 그러니까 두 파일을 합친다고 생각을 하면, 처음 부분 말고 뒷 부분을 시그니처 훼손해도 괜찮겠다. 만약 첫 파일이 PNG파일이거나 이미지파일이면 깨지지는 않으니까

문제 자체가 푸는게 어렵지는 않은데 뒷부분에서 시그니처가 깨져있으면 자칫하면 못보고 지나칠수도

제작 방법(2)

아래쪽에 플래그를 적어둔 이미지를 만들고, 아래쪽 공간에 플래그를 배치한다.
HxD로 이 파일을 열면 맨 앞 헤더 바로 뒤에 IHDR 문자열이 보인다.
IHDR 글자 바로 뒤쪽을 보면 가로 크기(4바이트)와 세로 크기(4바이트)데이터가 순서대로 들어있다.
예를 들어 세로 크기 값이 바이너리로 00 00 03 E8(십진수 1000)로 되어 있다면, 이걸 00 00 02 BC(십진수 700) 정도로 줄여서 덮어쓰는 것

문제 만들 시 중요한 사항!!!
PNG는 데이터 무결성을 위해 청크마다 CRC(오류 검증 코드)를 쓴다.
즉, 크기를 강제로 바꾸면 CRC 에러가 나서 아예 사진이 안 열릴 수 있으므로 파이썬 스크립트로 조작된 세로 크기에 맞게 CRC 값까지 새로 계산해서 수정해줘야하는 것을 잊지 말기!!

krita(그림판) 이용

가로 800, 세로 1000픽셀짜리 흰색 이미지를 만들고 flag를 700 밑에다가 써줌

hxd로 열어주고 너비, 높이 확인해주기

00 00 02 BC (700을 뜻하는 16진수)로 높이 부분을 저장해줌(700으로)

오 운이 좋아서 화면이 깨지지는 않았음

그치만 CRC를 꼭 맞춰줘야 함!!

import zlib
import struct

#세로 크기 조작한 hide.png 파일을 바이너리로 읽어오기
F = open("hide.png", "rb")
D = F.read()
F.close()

#크기를 조작한 IHDR 청크 데이터 영역만 떼어냄
IHDR_DATA = D[12:29]

NEW_CRC = zlib.crc32(IHDR_DATA)

NEW_CRC_BIN = struct.pack(">I", NEW_CRC)


CHALLENGE_FILE = D[:29] + NEW_CRC_BIN + D[33:]
F = open("challenge.png", "wb")
F.write(CHALLENGE_FILE)
F.close()

플레이어가 hxd로 열어서 크기를 조정해주면(어느정도 몇번은 해보겠지)

***PNG 파일은 항상 맨 앞에 헤더(8바이트)가 오고, 그 뒤로 IHDR, IDAT, IEND라는 청크(Chunk)들이 순서대로 붙는 구조입니다.

Header: 89 50 4E 47 0D 0A 1A 0A
IHDR 청크: 파일의 메타데이터(가로/세로 크기, 색상 정보 등)가 들어있는 구간////
IDAT 청크: 실제 이미지 데이터가 압축되어 들어있는 구간
IEND 청크: 49 45 4E 44 AE 42 60 82

이 두 방법을 섞어서 사용해도 좋을 것 같음!

(3) 윈도우 아티팩트 내 카빙

찾아보니까 그냥 파일을 넣어놓고 카빙하는 것은 약한 느낌이 들 수 있기 때문에 윈도우 포렌식이라는 주제에 따라 윈도우 아티팩트를 추출하고 그 안에 카빙을 넣어본다면 조금 더 체계적인 문제를 만들 수 있다.

제작 방법:

1. 용의자가 어떤 이미지를 본 뒤에 삭제를 했음 --> 우리 배운 아티팩트 중에 Thumcache는 삭제되도 데이터가 남는다고 배웠음

2. Thumbs.db나 thumbcache.db에 작은 미리보기 이미지를 저장함

3. 플레이어가 이 파일들을 보고 export해서 파일 카빙 기법을 할 수 있게끔 만들 수도 있겠다..!

--> 그다음은 이전에 설명했던 기법들을 선택해서 넣어도 될 것 같음

워게임 - xss-1

hmyang444 — Fri, 15 May 2026 18:45:14 +0900

문제 설명

여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다.
XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다.

플래그 형식은 DH{...} 입니다.

파일을 다운로드 받아줍니다~

파이썬 코드와 static폴더, templates 폴더가 있습니당

그리고 vm을 부팅해서 웹사이트를 열어주니까

이렇게 3가지가 보인다.

먼저 vuln(xss) 페이지에 들어가면 1이라고 alert대화상자가 뜬다.

그 다음 memo창에 들어가보면 hello라고 뜬다. 다음에 또 들어가면 밑에 hello가 계속 생기는 방식인 것 같다.

flag창에 들어가면 URL을 입력할 수 있는 듯 보인다.

#!/usr/bin/python3
from flask import Flask, request, render_template
from selenium import webdriver
from selenium.webdriver.chrome.service import Service
import urllib
import os

app = Flask(__name__)
app.secret_key = os.urandom(32)

try:
    FLAG = open("./flag.txt", "r").read()
except:
    FLAG = "[**FLAG**]"


def read_url(url, cookie={"name": "name", "value": "value"}):
    cookie.update({"domain": "127.0.0.1"})
    driver = None
    try:
        service = Service(executable_path="/usr/local/bin/chromedriver")
        options = webdriver.ChromeOptions()
        options.binary_location = "/usr/bin/google-chrome"
        for _ in [
            "headless",
            "window-size=1920x1080",
            "disable-gpu",
            "no-sandbox",
            "disable-dev-shm-usage",
        ]:
            options.add_argument(_)
        driver = webdriver.Chrome(service=service, options=options)
        driver.implicitly_wait(3)
        driver.set_page_load_timeout(3)
        driver.get("http://127.0.0.1:8000/")
        driver.add_cookie(cookie)
        driver.get(url)
    except Exception as e:
        # return str(e)
        return False
    finally:
        if driver is not None:
            driver.quit()
    return True


def check_xss(param, cookie={"name": "name", "value": "value"}):
    url = f"http://127.0.0.1:8000/vuln?param={urllib.parse.quote(param)}"
    return read_url(url, cookie)


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/vuln")
def vuln():
    param = request.args.get("param", "")
    return param


@app.route("/flag", methods=["GET", "POST"])
def flag():
    if request.method == "GET":
        return render_template("flag.html")
    elif request.method == "POST":
        param = request.form.get("param")
        if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):
            return '<script>alert("wrong??");history.go(-1);</script>'

        return '<script>alert("good");history.go(-1);</script>'


memo_text = ""


@app.route("/memo")
def memo():
    global memo_text
    text = request.args.get("memo", "")
    memo_text += text + "\n"
    return render_template("memo.html", memo=memo_text)


app.run(host="0.0.0.0", port=8000)

계속 시도해봣는데 진짜 너무 어려워서...writeup을 봐주엇습니다........ㅠ

(1) vuln(xss) page: param을 인자로 가져와서 화면에 표시함/ alert로 띄움

(2) flag page: 메소드를 get이나 post로 가져오는데,

get인 경우 flag.html으로 이동하고, post인 경우 check_xss를 진행함

--> check_xss를 보면 alert대화상자가 보이는 것이 vuln()페이지로 이동하는 것이라고 함!!!

(3) memo page: memo의 인자를 가져와서 memo_text를 출력함

@app.route("/flag", methods=["GET", "POST"])

def flag():

if request.method == "GET":

return render_template("flag.html")

elif request.method == "POST":

param = request.form.get("param")

if not check_xss(param, {"name": "flag", "value": FLAG.strip()}):

return '<script>alert("wrong??");history.go(-1);</script>'

return '<script>alert("good");history.go(-1);</script>'

이게 제일 중요한 부분인데 놓쳤던 부분이 있었다....

check_xss를 하면 name: flag이고, value는 flag.strip(), 그러니까 cookie값이 생성되는 것임

flag page에 내가 url을 입력할 수 있는데, memo창에 cookie값이 뜰 수 있도록 memo창으로 이동하게 시켜주면 됨(use param)

http://127.0.0.1:8000/vuln?param= <script>memo?memo=hello + document.cookie</script>

이건 안되네...

찾아보니까 script태그 안에 다른 location이나 href 태그를 같이 사용해야 한다고 함

http://127.0.0.1:8000/vuln?param=<script>location.href='http://127.0.0.1:8000/memo?memo=' %2b document.cookie;</script>

써주고 url창에 /memo를 쳐서 들어가보니

DH{2c01577e9542ec24d68ba0ffb846508e}

국가 망 보안체계(N2SF) 시대 본격화: ‘국가 사이버보안 기본지침’ 개정으로 달라지는 공공 보안

hmyang444 — Fri, 15 May 2026 17:44:05 +0900

https://www.igloo.co.kr/security-information/%eb%b3%b4%ec%95%88-101-%ea%b5%ad%ea%b0%80-%eb%a7%9d-%eb%b3%b4%ec%95%88%ec%b2%b4%ea%b3%84n2sf-%ec%8b%9c%eb%8c%80-%eb%b3%b8%ea%b2%a9%ed%99%94-%ea%b5%ad%ea%b0%80-%ec%82%ac%ec%9d%b4%eb%b2%84/

[보안 101] 국가 망 보안체계(N2SF) 시대 본격화: ‘국가 사이버보안 기본지침’ 개정으로 달라지는

[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념

www.igloo.co.kr

국가정보원은 최근 '국가 사이버보안 기본지침' 개정안을 발표해, 국가 망 보안체계(N2SF)를 공식 반영하고 정보 중요도에 따라 보안 수준을 차등적으로 적용하는 공공 보안 정책 개편을 시작했습니다.

https://www.ncsc.go.kr/template/resources/file/nis_guide_lines_2023_1_31.pdf

[국가 사이버보안 기본 지침]

왜 지금 공공 보안 정책이 바뀌고 있을까?

지금까지의 국가 공공기관의 보안 체계는 망 분리 정책을 중심으로 운영되어 왔다.

*망 분리: 내부 업무망과 외부 인터넷망을 물리적으로 분리하는 것

장점: 외부 인터넷의 침입 가능성을 원천적으로 줄일 수 있음 --> 높은 보안성

최근 IT 환경은 생성형 AI, 클라우드, SaaS 기반 협업 환경, 원격근무 등 새로운 업무 방식이 확산되면서 기존의 망 분리 정책만으로는 변화하는 업무 환경을 수용하기가 어려워졌다. 특히 공공기관 역시 AI 기반 업무 혁신과 클라우드 활용 수요가 증가하면서, 보안을 유지하면서도 새로운 기술을 활용할 수 있는 방향에 대한 요구가 커지고 있다.

즉, 국정원에서는 차단 중심 ---> 차등 적용 으로 체계를 바꾸고 싶어 한다.

N2SF 기반 보안 체제

개정안의 핵심: N2SF를 국가 사이버보안 기본지침에 공식적으로 반영한 점

실제 개정 지침의 내부망과 인터넷망 분리를 규정하던 기존 조문이 삭제되고, 「국가 망 보안체계(N2SF)」조항이 신설되며 업무정보의 등급 식별과 처리, 정보시스템 위치, 보안통제 등에 관한 기준이 새롭게 포함되었다.

업무 정보를 중요도에 따라 기밀등급(Classified)·민감등급(Sensitive)·공개등급(Open)으로 구분하고, 각 등급에 따라 서로 다른 보안 통제를 적용하게 됩니다.

즉 망 분리 <<<< 어떤 정보를 어떻게 보호할 것인가

로 보안 정책의 기준이 이동하고 있다.

기밀등급(C): 국가 안보나 정책에 영향을 줄 수 있는 핵심 정보

군사, 외교, 안보 등 국가적으로 민감한 정보로, 기존과 동일하게 외부망을 완전히 분리한 환경에서만 처리한다. 인터넷 및 클라우드 사용 역시 원칙적으로 제한한다.

민감등급(S): 내부 정책 검토 자료, 의사결정 과정 자료, 일부 개인정보와 같은 정보는 암호화·접근통제 등 필요한 보안 요건을 충족할 경우 외부망이나 클라우드 환경에서도 활용할 수 있다.

공개등급(O): 일반 인터넷 환경과 상용 클라우드 활용이 가능한 영역

이미 공개된 보도자료나 공공데이터와 같이 외부 공개가 가능한 정보는 민간과 유사한 형태의 업무 환경에서 보다 유연하게 활용될 가능성이 커지고 있다.

하지만 이러한 방식은 현장의 판단 역량이 매우 중요하게 작용할 수 밖에 없다. 기관이 업무정보를 어떤 기준으로 분류하느냐에 따라 제도의 실효성과 운영 방향이 크게 달라질 수 있기 때문이다.

정보의 중요도와 활용 목적, 접근 환경 등을 종합적으로 고려해 보호 수준을 정교하게 설계하는 데이터 중심 보안 체계로 공공 보안 운영 방향이 이동하고 있다는 것을 뜻한다.

(출처: 국가정보원 ‘국가 망 보안체계(N2SF) 보안가이드라인 1.0’)

광주지방법원 2025노2116 판결문(Opinion)

hmyang444 — Thu, 14 May 2026 00:07:53 +0900

광주지방법원 2025노2116 판결문을 보면서 좀 더 생각할 수 있는 insight나 나의 의견들을 정리헤보려고 한다.

1. CCTV 보관 방식 문제

피고인이 수사기관에 제출했던 날짜 미상 9건 등 13건의 CCTV 녹화자료가 있었다.

이를 피고인이 수사기관에 제공한 사실은 누설에 해당하지만, 대법원은 조합장 C의 실제 범죄 사실을 공론화하고, 해당 조합을 위한 청렴성과 공익성의 행위의 측면에서 정당행위로 인정을 받았다. 하지만 피고인이 조합에서 경제상무로 근무를 했을 때 얻었던 CCTV 자료를 후일에 자신의 이익을 위해 보관해놓은 것이라는 의혹도 있다. 실제로 전 판결문에서는 개인적인 이유로 CCTV영상을 사용해 C를 고발했다고 판단했었다.

이 사건은 피고인이 사직하고 나서 벌어진 사건이다.

CCTV는 고정형 영상정보처리기기이기 때문에 공개된 장소에서 원칙적으로 금지하지만, 범죄행위나 증거확보를 위해 허용한다.

그래서 CCTV를 촬영하는 것은 문제가 되지 않는다. 그렇지만 CCTV 보관 기간이나, 해당 목적이 사라지면 CCTV를 파기해야 한다는 사실은 이 부분에서 명확하게 설명되지 않는다고 판단된다.

대법원은 C의 부조리한 장면만 따로 모은 CCTV를 보관해놓은 것이 큰 문제가 아니라고 판단한 것일까?

물론 그 영상을 다른 제3자에게 유출했다는 정황은 없지만, 왜 이 원칙들은 경시되는 것일까?

CCTV 사적 보관, 위법?

피고인이 퇴사 후에도 해당 영상을 가지고 있었다는 점은 법적으로 충분한 논란의 여지가 있다고 생각한다.

일단 먼저, 원칙적으로 개인정보 보호법 상 수집 목적인 범죄 예방, 시설 관리라는 목적이 달성되거나, 보관 기간이 지나면 CCTV 영상은 자연스럽게 파기되는 것이 원칙이다.

개인정보 보호법 제21조 (개인정보의 파기):
개인정보 처리는 수집·이용 목적이 달성되면 지체 없이 그 개인정보를 파기해야 합니다.
개인정보 보호법 제25조 (영상정보처리기기의 설치·운영 제한):
CCTV 운영자는 설치 목적(범죄예방 등) 외의 목적으로 기기를 조작하거나 다른 곳을 비춰서는 안 되며, 녹화된 정보는 안전하게 관리해야 합니다.
통상 표준 개인정보 보호지침에 따라 30일 이내 파기를 권고합니다.

사직한 피고인이 재직 중 취득한 CCTV를 자신이 계속 가지고 있을 수 있게 저장매체에 담은 행위는 그 자체로

기술적, 관리적 보호조치 위반이나 개인정보 오남용에 해당할 가능성이 클 수 있다.

#기술적, 관리적 보호조치 위반

- 기술적 보호조치: 시스템적으로 보호하는 장치들 ex. 암호화, 저장 기록, 매체 보관

- 관리적 보호조치: 운영규칙들 ex. 내부 관리계획 수립, 개인정보보호책임자 지정 등

#개인정보 오남용: 수집 목적 범위를 벗어나서 사용하거나, 권한을 가진 자가 사적인 목적으로 사용하는 것

--> (사적인 동기를 가지고)고발하기 위한 것은 수집 목적에 해당하지도 않고, 상무 이사라는 권한을 가졌었던 자가 CCTV를 개인적으로 수집한 것 모두 해당함

법원은 어떤 판단을 했는가?

대법원: 실질주의적 판단을 해서, 절차적 위법성보다는 실질적 정의를 우선할 때가 있다.

이 사건에서도 법원은 피고인이 CCTV를 수집한 과정은 불완전(동의 없는 수집 및 보관)했을지라도, 그 결과(범죄 적발 및 공익 실현)의 가치가 훨씬 크다고 본 것이다.

나의 생각: 피고인의 행위가 무죄이긴 하지만, 이는 피고인의 고발의 정당성 때문이지 데이터 보관 방식까지 정당화하지는 못했다고 생각한다. 피고인의 고발이 실패하거나, 해당 영상이 다른 용도로 쓰일 수 있는 가능성을 고려하면 무거운 처벌을 면치 못했을 것이다.

해당 영상이 만약 수사기관이 아니라 다른 제3자에게 전달되거나, 다른 용도로 유출될 가능성을 고려하면 개인정보를 오남용하고 누출할 경각심이 좀 덜한 것이 아닌가 생각이 든다.

이 판결은 결과적으로 공익을 실현했기 때문에 무죄가 되었지만, 보안 관리 측면에서는 매우 위험한 선례가 될 수 있다고 생각한다.

성공하면 정당행위로 무죄가 되고 실패하면 유죄가 됨
만약 피고인이 제출한 자료가 유죄 판결로 이어지지 않았거나 범죄 혐의와 관련이 낮았다면, 피고인은 당연히 개인정보 보호법 위반으로 처벌받을 것이다.
사적 수집 및 사용의 정당화 우려
공익을 위해서라면 일단 데이터를 복제해서 가지고 나가도 된다는 잘못된 인식을 심어줄 수 있ek.
퇴사 시, 기업 입장에서는 자신들의 데이터의 반출 금지를 중요시 할 수 밖에 없다. 이런 기업 보안 정책이 무력화될 수도 있는 문제가 발생하지 않을까 생각이 든다.

My Opinion

또한 영상 데이터의 특성을 생각해보자

영상데이터는 한 번 복제되어 유출된다면 완벽한 회수는 거의 불가능하다. 많은 2차, 3차 유출이 발생하게 되는 것이다. 즉, 피고인이 선한 의도로 보관했을지라도 피고인의 저장매체가 훼손된다든지, 해킹을 통한 유출이 발생하게 되면 의도치 않은 개인정보 유출 문제가 심각화될 위험이 있다.

또한 영상이 수사기관에게 제공하는 것을 한정되어 있는 이유를 생각해보자

수사기관에게만 정당행위가 인정된다는 말은 수사기관이 아닌 유튜브나 다른 커뮤니티, 게시판 등에 공개된다면 법적 판단 전에 이미 많은 사람들의 판단들과 한 사람에 대한 사회적 문제의 파장이 심해질 수도 있는 것 아닌가?

즉, 대법원 쪽에서도 수사기관에 한정한 이유는 개인정보 보호와 보장의 중요성을 알고 있기 때문이지 않을ㄲㅏ..? ㅎ

생각해본다.

그렇다면 이번에는 현실적으로 생각해보자.

실제 수사를 한다고 생각을 할 때, 이런 수준의 증거자료의 제출이 없으면 수사가 잘 진행되지 않는 것은 인정된다.

또한 일반인이 수사기관에 고발할 때, 구체적인 증거 없이 말만으로 행위를 고발하려고 하는 것은 말이 안된다. 그렇게 수사를 해주도 않고.... 중요한 증거가 있냐고 물어볼 것이고....

--> 그렇다면 어떤 방안이 생겨야 할까....?????

개인이 스스로 보관하고, 내가 알아서 해결하고 그런 행동에 의존하지 않기 위해서는

고발자가 적법하게 증거자료를 수집할 수 있는 무언가가 있어야 하지 않을까...(당연한 말이지만...)

- 찾아봤더니,, 공익신고 전담 창구라든지, 증거 보존 신청이라든지 이런 방법도 많이 사용하진 않지만 있다고 한다.

데이터를 안전하고 적법하게 인정받을 수 있게끔 수사기관에 넘길 수 있는 기술적인 방안들이 우리 사회에 나와야 한다고 생각한다.

워게임 - Steg-Pack

hmyang444 — Tue, 12 May 2026 20:01:47 +0900

문제 설명: 가짜 flag를 피해서 진짜 flag를 찾아라!@

문제를 다운로드 해주니 flag.png파일이 하나 있음

가짜 flag를 피해 진짜 flag를 찾으라고 하니까, 이 사진은 필히 가짜 flag

문제 제목이 steg-pack이니까, 스테가노그래피로 사진이 쌓여있다는 것일까? 싶어서

Stegsolve를 사용해봄

그치만 딱히 다른 것이 숨겨져 있는 건 아닌 것 같음

모를때는 hxd로 파일을 확인해보겠음

png파일 시그니처가 잘 보이고, png 푸터를 확인해보기 위해서 IEND를 검색해줌

IEND이후에 PK(압축파일), pass: 99999(비밀번호인가?) 뭐가 또 있는 것 같아서 확인해주기로 함

먼저 png 푸터 시그니처가 이렇게 8byte로 이루어져 있음

49 45 4E 44 AE 42 60 82(8 Byte)

pass 전 쉼표까지가 png파일이기 때문에 나머지 뒷 부분은 따로 잘라줌

해당 부분을 삭제한 후 png파일을 열어봤는데, 처음처럼 그대로 fake_flag가 나옴

이제 뒷부분을 확인해주면 될 것 같음

뭘까....

PK가 눈에 밟혀서 헤더 시그니처를 찾아주니까 9개나 나옴

근데 푸터 시그니처는 맨 마지막에 하나밖에 없음

(zip파일이니까 이럴수도 있다고 함)

범위를 잘못 지정해서 잘랐나 싶어서 다시 해봄

-> zip파일 시작 시그니처: 50 4B 03 04(4608 시작)

-> zip파일 푸터 시그니처: 마지막까지

오 zip파일이 잘 열렸음

알아야 할 것!

ZIP 파일의 진짜 끝은 어디?

zip파일 푸터 시그니처: 50 4B 05 06

이것은 정확히 말하면 EOCD(End of Central Directory Record)의 시작을 알리는 표식이라고 한다.

즉, zip파일 구조상 EOCD 섹션 안에 주석의 길이와 내용이 들어가게 된다.

만약 딱 시그니처까지만 복사하고 그 뒤의 가변 데이터를 잘라버리면, 압축 프로그램은 "주석이 있다고 했는데 왜 데이터가 없지?"라며 파일이 손상되었다고 판단해 열어주지 않는 것입니다. zip파일을 열어주지 않는 것임!!

분석 시 주의할 점>

카빙(Carving)이나 파일 복구 작업을 할 때, ZIP 파일은 단순히 푸터 시그니처를 찾는 것으로 끝내면 안된다!

50 4B 05 06을 찾기
해당 지점으로부터 20~22바이트 뒤에 있는 'Comment Length' 값을 확인
그 길이만큼 데이터를 더 포함시켜야 완벽한 ZIP 파일이 됨

그래서 실무에서는 이렇게 다 계산하기 어렵기 때문에 그냥 시그니처 이후 null data나 아예 끝나는 지점까지 넉넉하게 추출하는 방식을 쓰곤 한다.

메모리 분석 데프콘 2019 챌린지 CTF 풀이

hmyang444 — Tue, 12 May 2026 17:52:46 +0900

메모리 분석 데프콘 2019 챌린지 문제 풀이를 위해

- Triage-Memory.mem 파일 다운로드

[1] get your volatility on

triage-memory.mem 파일의 SHA-1 해시값을 물어봄

터미널에서 volatility를 사용해서 imageinfo를 해줌 --> 이 파일의 정보들을 알아보기

일단 문제 풀기 전에 간단하게 정리만 해보면

(1) KDBG: process 정보 추적하기 용이

(2) profile: win7, win2008

(3) Image data and time: 2019-03-22 경

무튼 그래서 첫 번째 문제인 파일의 SHA-1 해시값을 알아보려고 함

도구: SHA1Sum.exe(강의와 똑같은 툴을 발견하지 못해서..다른 툴로 대체함)

해당 도구가 있는 파일 안에 메모리 파일을 넣어서 설명해주는 option에 따라

.\SHA1Sum.exe compute '.\Adam Ferrante - Triage-Memory.mem' 를 해서 해시값을 얻음

flag<c95e8cc8c946f95a109ea8e47a6800de10a27abd>

[2] profile

아까 잠깐 확인했던건데..!

suggested profile을 보면 다양한 machine정보들이 나옴 --> 가장 적절한 profile = 제일 앞에 있는 것

flag<Win7SP1x64>

[3] hey, write this down

notepad.exe의 프로세스 ID를 구해보시오

volatility로 돌아가서 -f 옵션을 주고 pslist를 살펴보기로 함

0xfffffa80054f9060 notepad.exe 3032 1432 1 60 1 0 2019-03-22 05:32:22 UTC+0000

오프셋 파일명 PID PPID THDS HNDS SESS WOw64 START

즉, PID는 3032이다

flag<3032>

쉽게 볼 수 있는 법: pslist | finstr notdpad.exe

notpad만 따로 뽑아서 보여줌

[4] wscript can haz children

이번에는 wscript의 자식 프로세스의 이름을 알아야하니, pslist보다는 pstree로 보는 것이 낫다고 판단함

pstree로 보니까 부모-자식 관계가 잘 보임

hfs.exe --> wscript.exe --> UWkpjFjDzM.exeImage date and time : 2019-03-22 05:46:00 UTC+0000 --> cmd.exe

flag< UWkpjFjDzM.exe >

[5] tcpip settings

RAM덤프(이미지파일)가 만들어졌었던 시간에 machine의 IP주소는 무엇인가?

아까 봤던 ImageInfo에서 봤던 생성 시간: Image date and time : 2019-03-22 05:46:00 UTC+0000

--> 이 정보를 가지고 확인하면 될 것 같음

IP주소니까 connections를 해야하나? 싶어서 해봤더니 profile이 winXP나 2003년 버전만 가능한 것 같음

그 밑에 connscan이라고 tcp 연결에 대한 정보를 알려주는 것이 있는 것 같음

근데 얘도 안된다고 나온네...

강의에서 netscan을 이용해보자고 하심

한번 살펴보면 제대로된 local address 정보는 10.0.0.101 정도로 확인할 수 있다.

flag<10.0.0.101>

[6] intel

감염된 PID에 의해서, 공격자의 IP주소를 찾아라

estabilished: 연결되어있는 상태 --> 의심

| findstr ESTABLISHED 를 통해서 자세히 확인해보면

아까봤던 .exe파일이랑, OUTLOOK.EXE 파일이 서로 연결되어 있다.

outlook.exe는 Microsoft Outlook 애플리케이션의 실행 파일이기 때문에 악성일 확률이 낮음

즉, UWkpjFjDzM.exe 의 10.0.0.106이 공격자 IP주소라고 봄

+ 4444포트: 임의적으로 생성된 포트(의심해야 함)

flag<10.0.0.106>

[7] i <3 windows dependencies

VCRUNTIME140.dll과 관련있는 프로세스 이름은 무엇인가?

dll: 동적 링크 라이브러리

여러 파일들은 기능에 맞게끔 dll파일들을 공유해서 사용하게 됨

dll과 관련된 plugin을 살펴보니

dlldump Dump DLLs from a process address space

dlllist Print list of loaded dlls for each process (유력)

ldrmodules Detect unlinked DLLs

dlllist부터 해봐야겠다.

아니ㅋㅋㅋㅋㅋ....너무 많아서 이번에도 | findstr VCRUNTIME140.dll을 해주니까

DLL의 경로, 사이즈, offset 등 나옴

근데 이 정보는 관련있는 프로세스를 알기는 어려우니까 dlldump를 해보려고 함

dlldump는 따로 옵션을 줘야하는데 이렇게 찾아서 해주니까 하나가 딱 뜸

vol.exe -f [메모리_덤프_파일] --profile=[프로필_이름] dlldump -D [저장할_디렉토리] -p [PID]
주요 옵션 설명:
-f: 분석할 메모리 덤프 이미지 파일 경로를 지정합니다.
--profile: 해당 메모리 이미지가 생성된 운영체제 정보(예: Win10x64)를 지정합니다.
-D: 추출된 DLL 파일을 저장할 폴더 경로를 지정합니다.
-p: 특정 프로세스의 DLL만 뽑고 싶을 때 해당 프로세스의 ID를 입력합니다. (지정하지 않으면 모든 프로세스의 DLL을 시도합니다.)
-r: (선택) 정규 표현식을 사용하여 특정 이름을 가진 DLL만 필터링하여 추출할 수 있습니다.

이 VCRUNTIME140.dll과 관련있는 프로세스의 이름은 OfficeClickToR인 것 같음

인 줄 알았는데.. ClickToR이라고 하네..?

굳이 dump파일을 할 필요가 없었던 것 같음...

flag<ClickToR>

**추가: dlllist > dllist.txt로 저장해서 보기 쉽게 찾아볼 수 있음

[8] mal-ware-are-you

가능성있는 malware의 MD5해시값이 무엇인가?

--> 계속 유의깊에 살펴봤던 malware파일은 UWkpjFjDzM.exe였음

---> 이 파일을 덤프를 떠야한다고 함

procdump: Dump a process to an executable file sample

프로세스의 PID: 3496

덤프하고 MD5해시 프로그램 찾으려고 잠깜 눈돌린 사이..악성파일이라서 바로 사라져버림..

실시간검사를 끄고 다시 해봣음

근데 MD5 tool 다운받기 살짝 귀찮아서ㅎㅎ 어차피 악성코드고 virustotal에 던져봤음(원래 이렇게 하면,,안되지만..)

MD5: 690ea20bc3bdfb328e23005d9a80c290

flag< 690ea20bc3bdfb328e23005d9a80c290 >

[9] lm-get bobs hash

bobs의 계좌의 LM hash값이 무엇인가?

plugin: hashdump - Dumps passwords hashes (LM/NTLM) from memory

윈도우의 사용자 계정 비밀번호 해시 정보는 레지스트리 하이브 파일(SAM, SYSTEM)에 저장되어 있는데, 이 명령어가 그 정보를 파싱해줌

Bob이란 사용자가 보임!

LM 해시값: aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0

flag <aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 >

[10] vad the impaler

VAD: vitrtual address descriptor(가상 주소 관리자)

해당 오프셋에 대한 VAD의 protections를 구하시오

0xfffffa800577ba10

plugin을 찾아보면 다양한 vad plugin이 있음 --> vadinfo 먼저 해보록 하겠음

txt파일로 저장해주고

해당 오프셋을 찾아주니 다양한 정보가 보임

protection: PAGE_READONLY

flag< PAGE_READONLY >

[11] vad the impaler

starting at 0x00000000033c0000, ending at 0x00000000033dffff

protection: PAGE_NOACCESS

flag< PAGE_NOACCESS >

[12] vacation bible school

VBS script는 무엇인가?(파일 확장자없이 제출해라)

VBS (VBScript, Visual Basic Scripting Edition)

용도: 윈도우에서 단순 작업 자동화, 파일 시스템 조작, GUI 조작 등에 사용되는 경량 스크립트 언어입니다.
특징:.vbs 확장자를 사용하며 별도 설치 없이 윈도우에서 작동하지만, 악성 스크립트(랜섬웨어, 정보 유출)로 악용되기도 합니다.

wscript pid: 5116

cmdline: Display process command-line arguments

경로가 보이고, vbs파일을 가지고 있음을 알 수 있음(vhjReUDeuumrX.vbs)

flag< vhjReUDeuumrX >

[13] thx microsoft

2019-03-07 23:06:58 UTC시각에 작동한 어플리케이션의 이름은?

pslist로 다시 확인을 해봤는데..! 시각이 3/22만 있을 뿐, 그 전 시각은 보이지 않음

이렇게 바로 보이는 것은 아닌 것 같고

application을 쳤을 때 보이는 shimcache를 해봐야겠음

경로: C:\Program Files (x86)\Microsoft\Skype for Desktop\Skype.exe

오 skype, 메세지 플랫폼인데

flag< Skype.exe >

[14] lightbulb moment

메모리가 덤프되었던 시간에 notepad.exe에 쓰여진 것이 무엇인가?

메모리 덤프 시간: 2019-03-22 05:46:00 UTC+0000

memdump: 특정 프로세스의 메모리 영역을 덤프하여 파일로 저장합니다. 저장된 덤프 파일 내에서 문자열 검색 등을 통해 구체적인 데이터를 확인할 수 있습니다.

notepad.exe정보: 0xfffffa80054f9060 notepad.exe 3032 1432 1 60 1 0 2019-03-22 05:32:22 UTC+0000

pid: 3032

--> 파일을 notepad로 열기보다는! strings 명령어를 사용해서 확인할 수 있음

flag쳐서 찾아줬음

[15] 8675309

record 59045 파일의 shortname이 무엇인가?

file recod 59045: MFT를 알고 있는 것인가를 물어보는 것

flag<EMPLOY~1.XLS>

[16] whats - a - metasploit?

meterpreter: 메타스플로잇(Metasploit) 프레임워크에서 사용하는 고급 다기능 페이로드(Payload)이다.

시스템 침투가 되면 meterpreter 형태로 침투가 된다고 함

아까 의심됐던 UXkpjFjDzM.exe를 덤프해주도록 하겠음(실시간 모드 끄기!)

virustotal에서 하는게 맞는거고, 악성코드임을 확신하게 됨

UXkpjFjDzM.exe의 PID는 3456

0xfffffa8005a1d9e0 UWkpjFjDzM.exe 3496 5116 5 109 1 1 2019-03-22 05:35:33 UTC+0000

flag<3456>

문제 끝.......

Python - Flask 프레임워크/ @app.route()

hmyang444 — Tue, 12 May 2026 14:55:12 +0900

Flask란?

Flask: Python 언어로 웹 애플리케이션을 만들 수 있게 도와주는 아주 간단하고 가벼운 웹 프레임워크

Flask를 사용하는 이유?

간단한 웹사이트를 만들고 싶을 때
프로토타입을 빠르게 만들어보고 싶을 때
백엔드 기초를 배우고 싶을 때

풀 스택 웹 프레임워크인 Django와는 달리 Flask는 개발자의 능력과 목적에 맞게 만들 수 있다고 한다. but Django는 단순히 임포트해서 편리하게 사용할 수 있는 일부 부가적인 기능을 Flask는 직접 만들어야 하니 번거로움이 있을 수도 있다.

라우팅이란?

최신 웹 애플리케이션은 사용자를 돕기 위해 의미 있는 URL을 사용한다. 사용자는 기억하기 쉽고 직접 방문할 수 있는 의미 있는 URL을 사용하는 페이지를 더 좋아하고 다시 방문할 가능성이 높다.

@app.route(): 파이썬 Flask 프레임워크에서 특정 URL(예: /about)과 이를 처리할 파이썬 함수를 연결하는 데코레이터

즉, @app.route()는 사용자가 특정 주소(URL)에 접속했을 때 어떤 동작을 할지를 연결함

또한 첫 번째 매개변수는 URL이다!!(중요)

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()  
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',  
    'user': 'user1234', 
    'admin': FLAG   
}


# this is our session storage
session_storage = {             
}


@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)   
    try:
        # get username from session_storage
        username = session_storage[session_id]  
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':             #POST일 때 username, password를 읽어옴
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:          
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()     
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'


@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage


if __name__ == '__main__':
    import os
    # create admin sessionid and save it to our storage
    # and also you cannot reveal admin's sesseionid by brute forcing!!! haha
    session_storage[os.urandom(32).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

파이썬 코드에서 보면 총 3개의 @app.route()가 있다. 하나하나씩 분석해보면서 공부해보자

@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)   
    try:
        # get username from session_storage
        username = session_storage[session_id]  
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')

(1) @app.route('\') 의 경로에 들어가면(메인경로)

과정

-> sessionid를 가져오려고 함

-> 쿠기가 없거나 잘못되면(keyerror) index.htmld을 불러옴

-> sesssionid가 있다면 index.html에다가 메세지가 출력됨

ex. hello _____, flag is ______________ (admin인 경우)

hello _____, you are not admin. (admin이 아닌 경우)

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':             
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:         
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()  
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'

(2) @app.route('/login', method = ['GET', 'POST'])

첫 번째 매개변수는 url, 두 번째 매개변수는 HTTP의 메시드(defalut = get)

HTTP 메서드

웹 애플리케이션은 URL에 접근할 때 다양한 HTTP 메서드를 사용한다. 기본적으로 라우트는 특정 요청에만 응답하고, 데코레이터의 GET활용하면 다양한 HTTP 메서드를 처리할 수 있다.

과정

-> get 요청으로 처리를 한다면, login.html 페이지로 가게 됨

-> post 요청이라면, 사용자가 입력한 username과 password를 가져옴

-> users라는 사용자 아이디가 저장되어있는 곳에서 일치한지 확인을 하고

-> 비밀번호 검증을 함

-> 비밀번호가 다르면 ("wrong password") 를 띄우고,

-> 같다면 sessionid를 랜덤 생성하고 쿠키에 저장하기

@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage

(3) @app.route('/admin') --> admin페이지(url)로 이동

과정

-> admin() 함수 실행, 즉 페이지로 이동하면

-> session_storage가 응답된다

-> 이 과정에서 admin뿐만 아니라 다른 아이디의 sessionid가 다 드러나는 이유 중 하나!!(제일 중요한 코드~~))

드림핵 워게임 - session-basic

hmyang444 — Mon, 11 May 2026 16:50:39 +0900

https://dreamhack.io/wargame/challenges/409

로그인 | Dreamhack

dreamhack.io

문제: 쿠키와 세션으로 인증 상태를 관리하는 간단한 로그인 서비스입니다. admin 계정으로 로그인에 성공하면 플래그를 획득할 수 있습니다. 플래그 형식은 DH{...} 입니다.

먼저 파이썬 파일을 하나 다운로드 받음

app.py을 visual studio code로 열어줌

#!/usr/bin/python3
from flask import Flask, request, render_template, make_response, redirect, url_for

app = Flask(__name__)

try:
    FLAG = open('./flag.txt', 'r').read()  #뭔가 flag.txt파일을 열어오는 듯
except:
    FLAG = '[**FLAG**]'

users = {
    'guest': 'guest',  #이게 해당하는 아이디랑 비번인가보다
    'user': 'user1234',  #user의 아이디, 비번도 있고
    'admin': FLAG   #중요부분 -> admin에 대한 비밀번호는 flag로 표시되어 있음
}


# this is our session storage
session_storage = {             # session_strage가 있네..
}


@app.route('/')
def index():
    session_id = request.cookies.get('sessionid', None)   
    try:
        # get username from session_storage
        username = session_storage[session_id]  
    except KeyError:
        return render_template('index.html')

    return render_template('index.html', text=f'Hello {username}, {"flag is " + FLAG if username == "admin" else "you are not admin"}')


@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'GET':
        return render_template('login.html')
    elif request.method == 'POST':             #POST일 때 username, password를 읽어옴
        username = request.form.get('username')
        password = request.form.get('password')
        try:
            # you cannot know admin's pw
            pw = users[username]
        except:
            return '<script>alert("not found user");history.go(-1);</script>'
        if pw == password:          #pw가 password랑 일치하면
            resp = make_response(redirect(url_for('index')) )
            session_id = os.urandom(32).hex()     #중요!! -> session_id를 랜덤으로 hex값으로 바꾸는 것 같음
            session_storage[session_id] = username
            resp.set_cookie('sessionid', session_id)
            return resp
        return '<script>alert("wrong password");history.go(-1);</script>'


@app.route('/admin')
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage


if __name__ == '__main__':
    import os
    # create admin sessionid and save it to our storage
    # and also you cannot reveal admin's sesseionid by brute forcing!!! haha
    session_storage[os.urandom(32).hex()] = 'admin'
    print(session_storage)
    app.run(host='0.0.0.0', port=8000)

처음 파이썬 코드를 읽을 때는 너무 어려워서 꽤 오랜 시간 코드를 읽어보려고 노력했던 것 같음..

파이썬 코드를 실행시켰을 때,, 저렇게 화면이 떴는데

당시의 나는 그냥 오류인가보다 하고 별 신경을 안 씀ㅋ...............

그리고 해당 login페이지를 열어보았음

아직은 잘 모르겠으니까 알고 있는 guest - guest로 로그인을 해줌

그랬더니 "Hello guest, you are not admin" 이라고 내용이 뜸 --> 파이썬 코드에서 본 것!

이 문제가 session, cookie인만큼 작업자도구를 열어서 application값을 확인 안해줄 수가 없었다.

cookie에 들어가보니 guest로 로그인을 했을 때, sessionid(난수)가 생성되는 것을 확인할 수 있었음

지금 보이는 guest의 sessionid의 값을 admin의 sessionid로 바꿔주면 되는 것 아닐까??? 약간 알 것 같은데 모르는 것 같은 느낌인..이상한 느낌

아까 python코드를 다시 보면
session_id = os.urandom(32).hex() 라고 되어있는데

이를 찾아보니 session_id를 랜덤 난수로 만들어주는데, 32byte를 hex값으로(16진수) 바꿔준다고 함

그니까 이게 랜덤값이다 보니까 guest로 다시 로그인하면 새로운 session_id 값이 생기게 됨

그리고 나서 아무리 python 코드를 쳐다보고, 로그인을 해봐도 전혀.. 잘 모르겠어서 약간의 도움을 얻음....ㅠㅠ

>>> app.route()를 유의해서 볼 것(처음보는 거였는데)
@app.route('/admin') # /admin으로 들어가면 되는 것이었음

# @app.route: 해당 앱의 URL을 함수에 쉽게 할당하기 위해 제공하는 파이썬 데코레이터 / 첫번째 매개변수는 URL
def admin():
    # developer's note: review below commented code and uncomment it (TODO)

    #session_id = request.cookies.get('sessionid', None)
    #username = session_storage[session_id]
    #if username != 'admin':
    #    return render_template('index.html')

    return session_storage

소름돋게도 admin() 함수는 session_storage를 반환한다고 함 --> sessionid가 있을 것이라고 판단

다시 보니까 경고창 밑에 들어갈 url이 있었음

눌러봤더니 admin이 뜸!

admin의 sessionid라고 생각해서 이것을 바꿔주기로 했음

ㅣㅇ게 진짜일 리 없어...

아무리 바꿔주고 세로고침을 해도 전혀 flag가 뜨지 않음

오류인가...이게 진짜 맞을텐데..

어떤 사람들은 burp suite에서 한다고 하길래 나도 따라해봤는데

근데 이건 자꾸 hhtp를 입력하면 오류가 자꾸 떠서 다시 맘을 다잡고 해당 서버에서 해보기로 했음

(서버를 알려준 이유가 있겠지;;;)

다시 login페이지에 들어가서 guest로 로그인한 후

그 해당 페이지에다가 /admin을 쳐주었더니...!

내가 로그인한 모든 흔적들이 나오면서 admin에 대한 sessionid가 나옴!!

너무 급해서 캡쳐를 안하고 나옴ㅎ

admin의 sessionid를 복사하고 다시 원래 창으로 돌아와서 sessionid값을 수정하고 세로고침을 하니까 flag가 바로 나옴!!

힘들었다....

# python의 app.route 에 대한 지식 --> 따로 정리

# 페이지를 다시 띄우는 게 아니라 주어진 페이지에서 /admin만 쳐서 창을 왔다갔다가 하기....