[2021 화이트햇 콘테스트 본선] E-2 - 포렌식

 

2021 화이트햇 콘테스트 본선에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다.

 

E-2 문제는 이전 E-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/624)

 

E-2
공격자가 변조한 레지스트리 키가 실행하는 바이너리의 메타데이터에 숨겨져 있는 플래그를 찾아내어라

 

이번 문제는 

 

공격자가 변조한 레지스트리 키가 실행하는 바이너리의

 

메타데이터에 숨겨진 플래그를 찾는 것이다.

 

 

지난 문제에서 Sysmon 로그 분석을 통해

 

C:\Users\PC_014\AppData\Roaming\OFFICE.dll 파일을 실행시키도록

 

설정이 되었다는것을 알 수 있었다.

 

문제에서 말하는 바이너리가바로 OFFICE.dll 이다.

 

 

해당 경로를 찾아가보면

 

정말 OFFICE.dll 파일이 생성되어 있는 것을 확인할 수 있고

 

 

별다른 기술없이

 

해당 파일을 메모장으로 열어

 

FLAG 라고 검색해보면 플래그를 찾을 수 있다.

 

FLAG{Be4t_th2_9db_!!!_Wh0is_H4cker___} 가 이번 문제 플래그이다.