2021 화이트햇 콘테스트 본선에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
반응형
이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다.
F-2 문제는 이전 F-1에서 계속 이어지는 문제이다.
(https://hackingstudypad.tistory.com/628)
F-2
주어진 네트워크 로그 분석을 통해 악성코드를 복원하고, 파일 해시를 구하여라(SHA1)
F-2 문제에선
네트워크 로그를 분석해서 악성코드를 복원한 뒤
파일 해시를 구하는 것이 목표이다.
여기서 말하는 악성코드는
지난 F-1 문제에서 찾았던 hh.exe 를 의미한다.
C:\Logs 폴더의 2.pcapng 에서 hh.exe 필터링 해서 찾았었는데
해당 패킷을
우클릭 - Follow - TCP Stream 을 해보면
이렇게 패킷의 내용을 확인할 수 있다.
Show data as를 ASCII 에서 Raw 로 바꿔준 뒤
HxD 같은곳어 붙혀넣어
다른 이름으로 저장해주면
hh.exe를 복원할 수 있다.
복원한 파일의 SHA1 해시값을 확인하면 된다.
FLAG{C628EBE8F15E1133E71CE071605176DFA1B5F4A0}
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2021 화이트햇 콘테스트 본선] G-2 - 포렌식 / Wireshark (173) | 2023.09.20 |
|---|---|
| [2021 화이트햇 콘테스트 본선] G-1 - 포렌식 / Wireshark / HxD / XOR (155) | 2023.09.18 |
| [2021 화이트햇 콘테스트 본선] F-1 - 포렌식 / Wireshark / Strings (151) | 2023.09.14 |
| [2021 화이트햇 콘테스트 본선] E-2 - 포렌식 (139) | 2023.09.12 |
| [2021 화이트햇 콘테스트 본선] E-1 - 포렌식 / Wireshark (162) | 2023.09.10 |