[B-5]
해당 가상머신의 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트는?
플래그 형식은 FLAG{IP_PORT}
2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 B-4 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/699)
정신을 어디 뒀었는지
이번 문제화면도 역시 캡쳐를 못했다..
넘 아쉬운 부분..
반응형
B-5 문제는
침해사고를 당한 Windows10 이미지에서 동작하는 악성코드들이
공통적으로 통신하고 있는 서버 아이피와 포트를 찾는것이 목표이다.
사실 이건 지난 B-4 문제를 풀면 바로 해결할 수 있는데
바탕화면에 있는 Log 폴더의
a-1.pcapng 파일을 분석하면
목적지 주소가 15.165.18.103 인 곳으로
계속 통신이 이루어지는 것을 볼 수 있다.
실제로 몇몇 패킷을 골라서
우클릭 - Follow - TCP Stream 해보면
뭔가 수상하게 BASE64 인코딩된 데이터들이
오가는 것을 볼 수 있다.
통신하는 포트는 아무 패킷을 선택해보면
세부 내용을 확인할 수 있다.
81번 포트를 사용하는게 보인다.
따라서 이번 문제의 플래그는
FLAG{15.165.18.103_81} 이 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] C-2 - 포렌식 / Sysmon View / Powershell (80) | 2024.02.15 |
|---|---|
| [2022 화이트햇 콘테스트 본선] C-1 - 포렌식 / Powershell (120) | 2024.02.06 |
| [2022 화이트햇 콘테스트 본선] B-4 - 포렌식 / Wireshark (136) | 2024.01.25 |
| [2022 화이트햇 콘테스트 본선] B-3 - 포렌식 / Powershell (121) | 2024.01.19 |
| [2022 화이트햇 콘테스트 본선] B-2 - 포렌식 / Sysmon View (131) | 2024.01.13 |