2022 화이트햇 콘테스트 예선에 출제되었던 문제
이전 B-3 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/649)
반응형
C-1 문제는
공격자가 자격증명을 덤프하기 위해 사용한 도구 이름과
프리패치 로그 상에서 해당 도구가 마지막으로 실행된 시각을 찾는것이 목표이다.
지난 B-3 문제에서
공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면
mimikatz.exe 가 있다는 것을 알아냈었다.
mimikatz는 워낙 유명한 자격증명 덤프 도구이기 때문에
문제에서 요구하는 첫번째 정답은 바로 알아낼 수 있다.
이제 프리패치를 확인해서 mimikatz 가 언제 실행되었는지 보기만 하면 된다.
프리패치를 분석할때는
위의 WinPrefetchView 라는 도구를 사용한다.
구글 검색으로 쉽게 찾을 수 있고,
다운받아 바로 실행시키면 된다.
WinPrefetchView 를 실행해
MIMIKATZ.EXE를 찾으면
2022-10-13 18:51:45 에 마지막으로 실행되었다는것을 알아낼 수 있다.
따라서 이번 문제의 플래그는
FLAG{MIMIKATZ.EXE_20221013185145} 가 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트] C-3 - 포렌식 / Powershell (190) | 2023.10.11 |
|---|---|
| [2022 화이트햇 콘테스트] C-2 - 포렌식 / WinPrefetchView (162) | 2023.10.09 |
| [2022 화이트햇 콘테스트] B-3 - 포렌식 / Sysmon View (152) | 2023.10.05 |
| [2022 화이트햇 콘테스트] B-2 - 포렌식 / Wireshark (183) | 2023.10.03 |
| [2022 화이트햇 콘테스트] B-1 - 포렌식 / Sysmon View / WinPrefetchView (216) | 2023.09.30 |