[2021 화이트햇 콘테스트 본선] H-1 - 포렌식 / Wireshark

 

2021 화이트햇 콘테스트 본선에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

이번 문제는 S2_WIN_Viction.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다.

 

H-1 문제는 이전 G-2에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/634)

 

H-1 
공격 당시에 공격자가 사용했던 도메인 이름은 무엇인가?

 

H-1 문제는

 

공격 당시 공격자가 사용했던 도메인 이름을 찾는것이 목표이다.

 

 

이번 문제의 플래그는

 

C:\Logs 폴더의 2.pcapng 를 분석해서

 

 

지난 G-1 문제에서

 

3.36.101.82 주소로 adobec.log 를 유출하는 흔적을 발견했었다.

 

그래서 해당 아이피를 공격자의 C2 서버 아이피라 가정하고 문제를 풀었다.

 

 

Wireshark 프로그램에서

 

상단 메뉴의 Statistics -> Resolved Address 로 들어가보면

 

 

해당 패킷 캡쳐 파일내에 있는

 

모든 Resolved Address 를 확인할 수 있다.

 

 

여기에 3.36.101.82 를 검색해보면

 

luugwnxihxy.ta 도메인이 하나 나온다.

 

여기가 바로 공격자가 공격 당시 사용했던 도메인 이름이다.

 

따라서 플래그는 FLAG{luugwnxihxy.ta} 가 된다.