[B-3] 문제에서 password 파일을 생성하는 악성 코드를 분석하여 플래그를 획득하라
플래그 형식은 FLAG{...}
2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 B-3 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/697)
정신을 어디 뒀었는지
이번 문제화면도 캡쳐를 못했다..
반응형
B-4 문제는
B-3 문제에서 password 파일을 생성하는 악성 코드를
분석해서 플래그를 획득하는 것이 목표이다.
B-3 에서 찾은 파워쉘 코드이다.
이걸 보고 mimikatz.exe 가 password 파일을 생성하는거라고 생각해서
분석을 해봤는데
별다른 소득이 없었다.
그래서 다시
바탕화면에 있는 Log 폴더의
a-1.pcapng 파일을 분석해봤는데
목적지 주소인 15.165.18.103 을 계속해서 찾아보니
main.do 와 통신한 흔적을 발견했다.
해당 패킷을
우클릭 - Follow - TCP Stream 해봤더니
Stream에서 숨어있던 플래그를 찾을 수 있었다.
C:\ProgramData\service.exe 파일과 관련있는듯 했다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] C-1 - 포렌식 / Powershell (120) | 2024.02.06 |
|---|---|
| [2022 화이트햇 콘테스트 본선] B-5 - 포렌식 / Wireshark (118) | 2024.01.31 |
| [2022 화이트햇 콘테스트 본선] B-3 - 포렌식 / Powershell (121) | 2024.01.19 |
| [2022 화이트햇 콘테스트 본선] B-2 - 포렌식 / Sysmon View (131) | 2024.01.13 |
| [2022 화이트햇 콘테스트 본선] B-1 - 포렌식 / IDA (112) | 2024.01.07 |