보안 우회: 가상 머신 업데이트 메커니즘 해독으로 플래그 간편하게 획득
2025-06-15
한 학생이 보안 과정의 가상 머신에 있는 업데이트 파일(*.gpg)에 과제 제출용 토큰이 포함되어 있다는 것을 발견했습니다. 업데이트 프로그램 `installUpdate`를 분석한 결과, `/root/.vmPassphrase` 및 `/root/.gnupg` 파일에 의존하는 GPG 복호화를 사용하는 것으로 나타났습니다. 가상 머신 디스크를 마운트하여 해당 파일을 얻은 학생은 업데이트를 복호화하고 토큰을 추출하여 과제를 조기에 완료했습니다. 업데이트에는 AES로 암호화된 토큰을 생성하는 Java 코드가 포함되어 있었습니다. 저자는 이 공격이 가상 머신 디스크에 대한 완전한 접근 권한에 의존하며, 원격 가상 머신 사용을 개선책으로 제안합니다. 조기 완료에도 불구하고 저자는 학습 과정과 과정 과제 완료의 중요성을 강조합니다.
개발