[CTF] HackTM - USB 패킷 분석

Security/Forensic

🔮 Bailey 2020. 2. 4. 22:58

HackTM의 문제를 접하게 되어 네트워크 문제를 풀어봤다

pcapng 파일을 받아서 열어보니 프로토콜이 USB인 파일이다

USB 패킷 파일 분석은 처음 해보는 거라 살짝 당황스러웠지만 우선 아는 걸 다 나열해본다

USB(Universial Serial Bus) 는 각각 디바이스들끼리 직접 소통을 할 수 없다

그래서 클라이언트 드라이버는 통신을 주고 받기 위해 URB(USB request block)을 사용한다

URB 는 요청과 해당 내용에 관한 정보를 담고 있는 구조체 형식으로 구성되어 있다

USB 패킷 필드는 Sync Field, Packet Identifier Field, Address Field, Endpoint Field, Data Field로 구성된다

=> 내용을 주고 받음에 있어 URB를 사용했을 것이고 데이터 필드에 유의미한 값이 있을 것이다 (가설)

USB에 대해 더 깊게 공부해보면 좋겠지만

우선 시간이 없으니 이 정도로 추측을 끝내고 가설을 확인해본다

다시 wireshark 로 돌아가서 usb.capdata을 확인하기 위한 칼럼을 추가해준다

칼럼 이름은 Leftover Capture Data 로 지어주고 타입은 custom으로 해둔 후 비고란에 usb.capdata를 입력한다

뚜둔!

GET STATUS Response 가 진행된 후에 URB_INTERRUPT in 항목 데이터를 살펴보면

hex형으로 추측되는 데이터들이 보인다

그렇다면 tshark 를 통해 우선 수상한 값을 모두 추출한다

상단에 위치한 값 일부는 지워주고 (wireshark에서 확인한 프로토콜 배치를 봤을때 의미 없을 것으로 생각됨)

00:00:00:00:00:00:00:00 도 전부 지워준다

행별로 살펴보니 1, 3번째 필드에만 유의미한 값이 있다

나머지 00 값들은 있어봤자 시야만 산만하므로 또다시 지워준다

깔끔하게 추출된 값을 살펴보면 field 1은 00, 02, 20 으로 구성되고 field 2는 생김새가 hex 처럼 보인다

그렇다면 각 필드가 의미하는 것이 무엇일지 찾아야 하는데 hex 로 표현될 데이터가 어떤게 있을까

앞서 살펴봤듯 캡쳐된 데이터들은 인터럽트에 의해 들어온 것이었다

즉, IO 인터럽트 기반 입출력이 진행되었음을 유추해 볼 수 있다

운영체제 입출력 방법 4가지 중 하나인 인터럽트 기반 입출력은 대부분 키보드 표준 입력 시 이루어진다

따라서 키보드 값이 버스를 통과할 때 어떤 형태로 전송되는지 찾아보았다

표준 문서를 보고 HID 값과 Key 값을 매핑하는 코드를 작성한다

(참고문서: Universal Serial Bus HID Usage Tables)

엄청 많은데 숫자와 알파벳 정도만 해줘도 될 듯 하다

두번째 필드를 넣고 돌리면 7VGJ4SSL9NHVUK0D6D3F로 변환된다

첫번째 필드(00, 02, 20)가 갖는 의미는 다음과 같다

02는 왼쪽 shift가 눌렸을 때, 20는 왼쪽 alt가 눌렸을 때이다

(그러나 문제에서는 20이 오른쪽 shift 를 누른 것처럼 동작하고 있었다

과거 다른 CTF에 비슷한 유형의 문제가 출제된 적이 있는데 해당 문제의 write up에서 20이 오른쪽 shift라고 말한다

그러나 그것을 확인할 수 있는 공식적인 reference를 아직 못 찾았다 향후 더 검색 필요)

이를 반영하면 최종적으로 문자열은 7vgj4SSL9NHVuK0D6d3F이 된다

다시 wireshark 로 돌아가 숨겨진 파일을 찾다보니 pk 시그니처가 발견된다

해당 부분을 복사하여 zip 파일로 카빙해준다

아니나 다를까 알집에는 비밀번호가 걸려 있다

위에서 발견한 문자열을 입력해준다

압축을 풀어서 열어본 텍스트 파일에 flag가 써져있다!

끝