2022 화이트햇 콘테스트 예선에 출제되었던 문제
이전 E-3 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/667)
반응형
F-1 문제는
시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서
플래그를 획득하는 것이 목표이다.
이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다.
E-3 에서 gametime.dll 이 실행되는 것을 확인했었다.
바탕화면 Log 폴더에 제공되어 있는
1.pcapng 파일을 wireshark 로 열어보면
중간쯤에서
http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다.
해당 패킷을
우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면
MZ 헤더로 시작하는 파일을 다운로드 받은것을 확인할 수 있다.
아마 악성코드일 것이다.
아래로 살짝만 내려보면
파일 중간에 숨겨져 있는 플래그를 찾을 수 있다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트] F-3 - 포렌식 / Powershell / Process Explorer (226) | 2023.11.15 |
|---|---|
| [2022 화이트햇 콘테스트] F-2 - 포렌식 / Sysmon View / Powershell (218) | 2023.11.11 |
| [2022 화이트햇 콘테스트] E-3 - 포렌식 / Autoruns / Sysmon View (158) | 2023.11.03 |
| [2022 화이트햇 콘테스트] E-2 - 포렌식 / Wireshark / IDA / Python (174) | 2023.10.30 |
| [2022 화이트햇 콘테스트] E-1 - 포렌식 / Sysmon View / Powershell (171) | 2023.10.26 |