2022 화이트햇 콘테스트 예선에 출제되었던 문제
이전 B-1 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/644)
반응형
B-2 문제는 악성코드를 다운받는
공격자 서버의 종료와 버전을 알아내는 것이 목표이다.
이전 문제에서
악성 스크립트가 실행되었던 시각을
프리패치의 WSCRIPT 의 Last Run Time 를 통해 확인했었다.
악성코드를 다운받은것은 이 시간 이후일 것이기 때문에
시간을 기준으로 잡고 분석을 진행했다.
제공된 Win10 이미지에서
바탕화면의 Log 폴더에 들어가면
pcapng 파일들이 있는것을 볼 수 있다.
이중 첫번째 1.pcapng 파일을 통해 시간을 알 수 있다.
스크립트가 실행된
2022-10-13 18:50:40 근처의 패킷을 살펴보다 보면
18:50:47 에 192.168.35.82/game.html 에 접속한 기록을 찾을 수 있다.
해당 패킷을
우클릭 - Follow - HTTP Stream 을 해서 자세히 살펴보면
response 패킷에서
MZ로 시그니처로 시작하는 응용프로그램을 다운받은것을 확인할 수 있다.
아마도 이게 악성코드일것이다.
문제에서 요구하는 정보는
response 패킷의 server 헤더에서 확인할 수 있다.
따라서 이번 문제의 플래그는
FLAG{APACHE_2.4.52} 가 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트] C-1 - 포렌식 / WinPrefetchView (161) | 2023.10.07 |
|---|---|
| [2022 화이트햇 콘테스트] B-3 - 포렌식 / Sysmon View (152) | 2023.10.05 |
| [2022 화이트햇 콘테스트] B-1 - 포렌식 / Sysmon View / WinPrefetchView (216) | 2023.09.30 |
| [2022 화이트햇 콘테스트] A-1 - 포렌식 / Sysmon View (185) | 2023.09.27 |
| [2021 화이트햇 콘테스트 본선] H-1 - 포렌식 / Wireshark (168) | 2023.09.22 |