[UMassCTF2025] forensic_No Updates

🛡️ UMassCTF2025

UMass Amhers(매사추세츠 대학교 애머스트 캠퍼스)의 2025년 CTF이다.

대회가 끝난 후에 Write-Up 작성이 허용된다.

🔍 문제

나는 컴퓨터를 업데이트하는 걸 믿지 않아.
시간만 너무 오래 걸리잖아!
게다가 아무도 날 해킹 못 해 — 나 좋은 비밀번호 쓰거든!

✏️ Write-Up

문제 내용을 통해 다음을 추론할 수 있다.

업데이트 하지 않은 시스템 사용
좋은 비밀번호 사용한다고 자부 → pcap 파일 내에 비밀번호 노출 가능성 有

일단 pcap파일을 wireshark로 열어보자.

먼저, 어떤 프로토콜이 사용되었는지 [통계] - [프로토콜 계층 구조] 로 확인해보았다.

그랬더니 FTP가 눈에 띄었다. FTP는 평문으로 통신하기 때문에 데이터가 그대로 노출되었을 가능성이 크다.

필터에 `ftp` 를 적용시켜봤더니 `Please specify the password` 라는 수상한 문자열을 발견하였다.

해당 패킷을 우클릭 하여 [따라가기] - [TCP 스트림]을 눌러 확인해보았더니 `vsFTPd 2.3.4` 에서 `VTVM` 이라는 user명으로 로그인을 시도한 것을 확인할 수 있었다.

vsFTPd 2.3.4의 취약점을 구글링 해봤더니 CVE-2011-2523으로 유명한 것 같았다.

해당 CVE를 검색해봤더니 포트 6200에 쉘을 열어주는 백도어 취약점이라고 한다.

따라서 6200 포트를 검색해보자

https://nvd.nist.gov/vuln/detail/CVE-2011-2523

NVD - CVE-2011-2523

CVE-2011-2523 Detail Modified This CVE record has been updated after NVD enrichment efforts were completed. Enrichment data supplied by the NVD may require amendment due to these changes. Description vsftpd 2.3.4 downloaded between 20110630 and 20110703 co

nvd.nist.gov

`tcp.port == 6200` 으로 필터를 걸어서 검색해봤다.

그리고 tcp 스트림 따라가기를 하면 공격자가 수행한 명령어를 볼 수 있고, 맨 마지막에 플래그가 평문으로 노출되어 있는 것을 볼 수 있다.

🚩 플래그

UMASS{n07_ag41n_d4mn_y0u_m3t4spl017}

저작자표시 비영리 (새창열림)

'CTF' 카테고리의 다른 글

[Blue team CTF] Yellow RAT Lab (0)	2025.05.28
[UMassCTF2025] forensic_Mascrotrace (1)	2025.04.21
picoCTF 2021 \| information (0)	2022.06.22
picoCTF 2021 \| Mod 26 (0)	2022.06.22
picoCTF 2021 \| Wave a flag (0)	2022.06.22

🛡️ UMassCTF2025

🔍 문제

✏️ Write-Up

🚩 플래그

'CTF' 카테고리의 다른 글

티스토리툴바