2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 B-5 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/701)
반응형
C-1 문제는
공격자가 두번째 호스트로 이동하기 위해
PC에 생성한 작업의 이름을 찾는것이 목표이다.
침해사고 당한 Win10 이미지를 조사하다가
C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
경로에 ConsoleHost_histroy.txt 파일을 찾았다.
해당 파일은 파워쉘 명령어 실행 기록이 저장되는데
열어서 내용을 확인해보니
Base64 인코딩된 파워쉘 명령어들을 찾을 수 있었다.
$base64EncodedString = "여기에_Base64_문자열_입력";
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64EncodedString))
디코딩하기 위해선
위의 파워쉘 스크립트를 사용하면 된다.
디코딩하면 또 잔뜩 난독화된
파워쉘 스크립트가 나온다.
다 다시 분석해야 하나 절망하고 있었는데
다행이 이번 문제의 플래그는
난독화된 스크립트 맨 아래애
난독화되지 않은 채로 있었다.
스케줄을 등록하는 Register-ScheduledTask 로
Cline Manager 라는 이름의 스케줄을 등록하고 있는 모습이다.
따라서 이번 문제의 플래그는
FLAG{Client Manager} 가 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] D-1 - 포렌식 / Powershell (92) | 2024.02.21 |
|---|---|
| [2022 화이트햇 콘테스트 본선] C-2 - 포렌식 / Sysmon View / Powershell (80) | 2024.02.15 |
| [2022 화이트햇 콘테스트 본선] B-5 - 포렌식 / Wireshark (118) | 2024.01.31 |
| [2022 화이트햇 콘테스트 본선] B-4 - 포렌식 / Wireshark (136) | 2024.01.25 |
| [2022 화이트햇 콘테스트 본선] B-3 - 포렌식 / Powershell (121) | 2024.01.19 |