37일차
●37일차(20250207037.php)
#시나리오(2)
진짜 사용자는 누구냐?
> SAM 파일 분석
#OSF
> Win7_Manager6-disk001:\Part1\Windows\System32\config
> SAM 파일에 오른쪽 마우스 클릭
> open with > registry viewer
> SAM\Domains\Account\Users
> 00003E8 > F에서 오른쪽 마우스 클릭 > 데이터 복사 > SID값 나옴
SID
F값
02 00 01 00 00 00 00 00 7A 94
5E 0A F6 78 DB 01 00 00 00 00
00 00 00 00 58 54 D7 7C E4 33
D6 01 FF FF FF FF FF FF FF 7F
00 00 00 00 00 00 00 00 E8 03
00 00 01 02 00 00 14 02 00 00
00 00 00 00 00 00 31 00 01 00
00 00 00 00 21 01 00 00 00 00
> 0~9 단위로 나눔
manager
RID(Relative identifier) : 비교 식별값
F(fixed format) : 고정적 형식
V(Variable format) : 유동적 형식
마지막 로그인 시각 : 8~15
(7A 94 5E 0A F6 78 DB 01)
마지막 패스워드 변경 시각 : 24~31
(58 54 D7 7C E4 33 D6 01 FF FF)
마지막 실패 로그인 시각 : 40~47
(00 00 00 00 00 00 E8 03)
로그온 횟수 : 16진수 2C에서부터 4바이트: 66~67
(31 00)
+) 16진수 그대로 계산하면 안되는 이유
> 3100은 16진수 10진수로 바꾸면 로그온 횟수가 나오는데 제대로 된 값이 나오지 않는다
> 3100으로 계산하는것이 아닌 0031로 계산해야 정확한 값이 나온다
+)16진수 시각계산(타임스탬프)
> 시각 계산 또한 16진수를 10진수로 바꿔서 10진수를 시각으로 변환해야함
> 그런데 윈도우 타임스탬프와 유닉스 타임스탬프가 달라서 디코딩을 두번해야 제대로 나온다
#Registry Viewer(access data)
> OSF는 안에 있는 파일의 속성을 볼수는 없다
> 보고싶다면 SID를 분석해야함
> access data는 속성을 통해서 시간을 볼수가 있다
1. SAM
> 마지막 로그인 시각, 패스워드 변경 시각, 실패 로그인 시각, 로그인한 횟수를 볼 수 있다
> 로그인 된 횟수
2. Software
Microsoft\CurrentVersion
> 다운로드 된 시간
> manager 계정도 보임
> 하드디스크 설치 시간과 컴퓨터를 가져온 시간이 맞지 않으면 중간에 바꿔치기 했다는 것을 알 수 있다
+) 강제종료는 로그아웃 횟수에 들어가지 않는다 (시간도 남지 않음)
3. 사용자
Win7_Manager-disk001:\Part1\Users\manager
NTUSER.DAT
> 사용자 프로필 설정(manager, msh)
> 각 계정별로 존재함
+) 리눅스
/etc/.profile
> 시스템 전체에 적용되는 설정파일(모든 사용자의 로그인 쉘에 영향을 미침)
/home/manager/bashrc
> 개별 사용자의 쉘 환경을 설정하는 파일(manager)
최근 실행한 프로그램 파일
Software\Microsoft\Windows\CurrentVersion\Run
웹브라우저 히스토리 및 URL 기록
Software\Microsoft\internet Explorer\TypedURLs(IE/Edge)
Software\Microsoft\Edge\TypedURLs (Edge)
Software\Mozila\Mozila Forefox (firefox)
Software\Google\Chrome\PreferenceMACs (chrome)
USB 장치 연결 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
최근 사용한 실행 명령어
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
바탕화면 및 개인화 설정
Control Panel\Desktop
최근 검색기록
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
#시나리오2
(1) 컴퓨터 부팅은 언제인가
(2) 누가접속했는가
manager
(3) 어디에 접속했는가
(4) 데이터베이스에 접속했는가
(5) 해커가 사이트를 공격했는가
(6) 공격했다면 무슨 흔적을 남겼는가
(7) 흔적들을 관리자가 실시간으로 모니터링했는가
#web1.st.kr을 활성화 시키자
> 로그를 남길것임
web1.st.kr/login.php
> 로그인이 되지 않는다
1. 데이터베이스 추가
CREATE DATABASE web1;
CREATE USER 'web1'@'localhost' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'localhost';
FLUSH PRIVILEGES;
CREATE USER 'web1'@'192.168.10.1' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'192.168.10.1';
FLUSH PRIVILEGES;
CREATE USER 'web1'@'%' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'%';
FLUSH PRIVILEGES;
2. 테이블 추가
> webhack.sql에서 테이블 코드에 admin 123456으로 바꿔주고
> board와 member의 테이블을 mysql에 넣어주자
3. dbconfig.php 수정
> host: localhost, dbname: web1, user: web1, passwd: 123456
> 추후 나오는 오류들 봐가면서 해당 파일에 webhack > web1으로 수정
UTM > 로깅 및 보호 > 중간에 네트워크 사용량이 크게 뛴것을 볼 수 있다
+) 다음날 아침에 찍음
#시나리오(2)
진짜 사용자는 누구냐?
> SAM 파일 분석
#OSF
> Win7_Manager6-disk001:\Part1\Windows\System32\config
> SAM 파일에 오른쪽 마우스 클릭
> open with > registry viewer
> SAM\Domains\Account\Users
> 00003E8 > F에서 오른쪽 마우스 클릭 > 데이터 복사 > SID값 나옴
SID
F값
02 00 01 00 00 00 00 00 7A 94
5E 0A F6 78 DB 01 00 00 00 00
00 00 00 00 58 54 D7 7C E4 33
D6 01 FF FF FF FF FF FF FF 7F
00 00 00 00 00 00 00 00 E8 03
00 00 01 02 00 00 14 02 00 00
00 00 00 00 00 00 31 00 01 00
00 00 00 00 21 01 00 00 00 00
> 0~9 단위로 나눔
manager
RID(Relative identifier) : 비교 식별값
F(fixed format) : 고정적 형식
V(Variable format) : 유동적 형식
마지막 로그인 시각 : 8~15
(7A 94 5E 0A F6 78 DB 01)
마지막 패스워드 변경 시각 : 24~31
(58 54 D7 7C E4 33 D6 01 FF FF)
마지막 실패 로그인 시각 : 40~47
(00 00 00 00 00 00 E8 03)
로그온 횟수 : 16진수 2C에서부터 4바이트: 66~67
(31 00)
+) 16진수 그대로 계산하면 안되는 이유
> 3100은 16진수 10진수로 바꾸면 로그온 횟수가 나오는데 제대로 된 값이 나오지 않는다
> 3100으로 계산하는것이 아닌 0031로 계산해야 정확한 값이 나온다
+)16진수 시각계산(타임스탬프)
> 시각 계산 또한 16진수를 10진수로 바꿔서 10진수를 시각으로 변환해야함
> 그런데 윈도우 타임스탬프와 유닉스 타임스탬프가 달라서 디코딩을 두번해야 제대로 나온다
#Registry Viewer(access data)
> OSF는 안에 있는 파일의 속성을 볼수는 없다
> 보고싶다면 SID를 분석해야함
> access data는 속성을 통해서 시간을 볼수가 있다
1. SAM
> 마지막 로그인 시각, 패스워드 변경 시각, 실패 로그인 시각, 로그인한 횟수를 볼 수 있다
> 로그인 된 횟수
2. Software
Microsoft\CurrentVersion
> 다운로드 된 시간
> manager 계정도 보임
> 하드디스크 설치 시간과 컴퓨터를 가져온 시간이 맞지 않으면 중간에 바꿔치기 했다는 것을 알 수 있다
+) 강제종료는 로그아웃 횟수에 들어가지 않는다 (시간도 남지 않음)
3. 사용자
Win7_Manager-disk001:\Part1\Users\manager
NTUSER.DAT
> 사용자 프로필 설정(manager, msh)
> 각 계정별로 존재함
+) 리눅스
/etc/.profile
> 시스템 전체에 적용되는 설정파일(모든 사용자의 로그인 쉘에 영향을 미침)
/home/manager/bashrc
> 개별 사용자의 쉘 환경을 설정하는 파일(manager)
최근 실행한 프로그램 파일
Software\Microsoft\Windows\CurrentVersion\Run
웹브라우저 히스토리 및 URL 기록
Software\Microsoft\internet Explorer\TypedURLs(IE/Edge)
Software\Microsoft\Edge\TypedURLs (Edge)
Software\Mozila\Mozila Forefox (firefox)
Software\Google\Chrome\PreferenceMACs (chrome)
USB 장치 연결 기록
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
최근 사용한 실행 명령어
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
바탕화면 및 개인화 설정
Control Panel\Desktop
최근 검색기록
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
#시나리오2
(1) 컴퓨터 부팅은 언제인가
(2) 누가접속했는가
manager
(3) 어디에 접속했는가
(4) 데이터베이스에 접속했는가
(5) 해커가 사이트를 공격했는가
(6) 공격했다면 무슨 흔적을 남겼는가
(7) 흔적들을 관리자가 실시간으로 모니터링했는가
#web1.st.kr을 활성화 시키자
> 로그를 남길것임
web1.st.kr/login.php
> 로그인이 되지 않는다
1. 데이터베이스 추가
CREATE DATABASE web1;
CREATE USER 'web1'@'localhost' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'localhost';
FLUSH PRIVILEGES;
CREATE USER 'web1'@'192.168.10.1' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'192.168.10.1';
FLUSH PRIVILEGES;
CREATE USER 'web1'@'%' IDENTIFIED BY '123456';
GRANT ALL PRIVILEGES ON web1.* TO 'web1'@'%';
FLUSH PRIVILEGES;
2. 테이블 추가
> webhack.sql에서 테이블 코드에 admin 123456으로 바꿔주고
> board와 member의 테이블을 mysql에 넣어주자
3. dbconfig.php 수정
> host: localhost, dbname: web1, user: web1, passwd: 123456
> 추후 나오는 오류들 봐가면서 해당 파일에 webhack > web1으로 수정
UTM > 로깅 및 보호 > 중간에 네트워크 사용량이 크게 뛴것을 볼 수 있다
+) 다음날 아침에 찍음