old

codegate 2012 - forensic 300 (chrome cookie 옵션값 분석)

nopdata 2017. 3. 30. 01:48
keyword : chrome cookie 옵션값 분석

문제의 지문을 보면 위와 같다. 대충 보면
IU는 감염된 시스템을 분석하는데 감염경로는 web으로 추측이 되며, 감염 url이 감염과 동시에 지워진 것으로 생각된다고 한다.
해서, 감염 URL과 감염된 시간을 구해야 하는 문제이다.
제공되는 파일은 100, 200점과 동일하게 Users하위이다. 대신 Proneer계정 하나와 Local, Chrome의 cookie정보만 주어진다.

sqlite파일이며 이를 열어보면 다음과 같다.


여러 url이 있는데 그 중 의심스러운 URL은 다음과 같이 압축하였다.
  1. forensic-proof.com
    문제 출제자의 사이트 이므로, 본인 URL을 이용하여 문제를 출제하였을 수 있다.
  2. slideshare.net
    온라인 ppt공유 사이트인데, 여기서 어떠한 다운로드 과정을 거쳤고, 그 데이터의 악성 데이터가 숨어있었다면 감염이 성립될 수 있다.

하지만 아무리 봐도 뭔가 나올 데이터가 없었다.
writeup을 보면 다양한 방법으로 찾았는데, 문제의 지문을 확실히 볼 것이, IU에게 시스템을 맡겼다는 것은 어느정도 시스템에 대한 분석 능력이 있다는 것이다.
그 얘기는 sqlite를 보는 법 정도는 알 것이라고 생각이 된다. 하지만, 감염 url을 찾지 못하였다고 하였으므로, 일반적인 tool을 이용하여 열기가 불가능 한 것이다.
하지만 문제가 풀리기 위해서는 어디엔가는 답이 있어야 한다.


osforensic을 이용하여 제공된 cookie파일의 문자열을 긁어보면 위와 같이 test.wargame.kr이라는 수상한 url이 나온다.
그리고 그 이후로 여러가지 cookie에 적용되는 옵션값들이 들어가 있다. 이는 write up을 작성한 블로거가 설명을 잘 해놔서 그대로 가져왔다.

__utma : Unique Visitors


This cookie is written to browser on first visit to your website from web browser. If it has been deleted then a new cookie is created with different Unique ID. This cookie is provided with a unique ID that Google Analytics uses to ensure both the validity and accessibility of the cookie as an extra security measure.

The example of this cookie is

126210440.579990553.1301242771.1302852082.1302867721.40

  • 126210440 : Domain hash, unique for each domain
  • 579990553 : Unique Identifier (Unique ID)
  • 1301242771: Timestamp of time you first visited the site
  • 1302852082: Timestamp for the previous visit
  • 1302867721: Timestamp for the current visit
  • 40 : Number of sessions started

__utmb & __utmc : Sessions tracking


‘__utmb’ is used to establish and continue a user session with your site and ‘__utmc’ operates in conjunction with the ‘__utmb’ cookie to determine whether or not to establish a new session for the user.

The example of ‘__utmb’ cookie is

126210440.14.0.1302875964860
  • 126210440 : Domain hash, unique for each domain
  • 14 : Number of page views in current session
  • 0 : Starts with 10 and this count decreases to 0 after every outbound link click
  • 1302875964860 : Timestamps of current session time


__utmc cookie has only data as domain hash, it expires right after user close browser window.

__utmz : Traffic sources


This stores the type of referral used by the visitor to reach your site. It is used to calculate search engine traffic, ad campaigns and page navigation. The cookie is updated with each page view to your site and expires 6 months after set/update.

The example of this cookie can be

126210440.1302625640.30.3.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=page%20load%20javascript
  • 126210440 :  Domain Hash
  • 1302625640 :   Timestamp when cookie was set
  • 30 : Session number
  • 3 : Campaign number
  • utmcsr=google : Campaign source
  • utmccn=(organic):  Campaign name
  • utmcmd=organic :  Campaign medium [Organic, referral, cpc and email]
  • utmctr=page%20load%20javascript : last keyword used to enter in site.

__utmv : Custom Value


This cookie is used to store custom values. This cookie is only written if you have added the _setVar() method for the tracking code on your website page. It expires 2 years after set/update.

The typical __utmv cookie looks like

126210440.|custom params
  • 126210440 : Domain Hash
  • Custom Values Custom values specified in user custom variables

__utmx : Website Optimizer


This cookie is used by Website Optimizer and only set when the Website Optimizer tracking code is installed and correctly configured for your pages. It expires 2 years from set/update.

이제 cookie파일안에 있는 데이터를 추려보면 다음과 같다.
     test.wargame.kr__utmz134301300.1328799447.1.1.... test.wargame.kr__utma134301300.282793704.1328799447.1328799457.1328799457.10

__utmz의 형태에 맞추어 보면 1328799447이 시간정보이며 이 데이터를 timelord를 통해 변환을 하면


이 시간을 구할 수 있다. 감염된 url은 test.wargame.kr이므로 답 형식에 맞추어 내면 된다.


Answer : test.wargame.kr|2012-02-09T23:57:27