2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 C-1 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/703)
반응형
C-2 문제는
공격자가 탐지를 회피하기 위해 MAC 타임을 수정했는데,
이를 위해 스크립트가 최초 실행된 시각과
powershell 의 PID를 찾는것이 목표이다.
sysmon view 도구를 이용해서
sysmon 로그를 분석해 powershell 실행이력을 찾았다.
그 중 하나에서
Base64 인코딩된 파워쉘 스크립트를
실행시킨 흔적을 볼 수 있었다.
$base64EncodedString = "여기에_Base64_문자열_입력";
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64EncodedString))
디코딩하기 위해선
위의 파워쉘 스크립트를 사용하면 된다.
디코딩 해보면
owl 이라는 function 에서
creationtime, lastaccesstime, lastwritetime 을 수정하고 있는
스크립트를 확인할 수 있다.
따라서 해당 sysmon 로그를 통해
이번 문제의 플래그가
FLAG{20221110_124758_5392} 임을 알 수 있다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] D-2 - 포렌식 / Powershell / Sysmon View (91) | 2024.02.27 |
|---|---|
| [2022 화이트햇 콘테스트 본선] D-1 - 포렌식 / Powershell (92) | 2024.02.21 |
| [2022 화이트햇 콘테스트 본선] C-1 - 포렌식 / Powershell (120) | 2024.02.06 |
| [2022 화이트햇 콘테스트 본선] B-5 - 포렌식 / Wireshark (119) | 2024.01.31 |
| [2022 화이트햇 콘테스트 본선] B-4 - 포렌식 / Wireshark (136) | 2024.01.25 |