2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 E-1 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/712)
반응형
E-2 문제는
공격자가 호스트에 침투한 Windows 서비스 중 하나를 조작하여
악성코드를 설치했는데,
해당 악성코드의 해시 값과 다운로드된 URL를 특정하는 것이 목표이다.
이미지를 분석하다 보면
cli_mgr.ps1 파워쉘 스크립트를 찾을 수 있다.
해당 스크립트의 내용은 위와 같은데
http://15.165.18.103/api 로부터
C:\Windows\System32\FXSSVC.dll 파일을 다운로드 받는것을
확인할 수 있다.
실제로 prob_b 이미지에서
해당 경로에 가보면 FXSSVC.dll 이 있는걸 볼 수 있다.
혼자만 수정한 날짜가 2022년 인게 뭔가 수상하다.
바로 certutil을 이용해
-hashfile 옵션을 줘서
해당 파일의 SHA1 해시값을 구하면 된다.
따라서 이번 문제의 플래그는
FLAG{http://15.165.18.103/api_575f1ffada5174755f8cbf9ec04ef8c828576f2d}
가 된다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] E-4 - 포렌식 / IDA (92) | 2024.03.22 |
|---|---|
| [2022 화이트햇 콘테스트 본선] E-3 - 포렌식 / Sysmon View (92) | 2024.03.16 |
| [2022 화이트햇 콘테스트 본선] E-1 - 포렌식 / WinPrefetchView (101) | 2024.03.04 |
| [2022 화이트햇 콘테스트 본선] D-2 - 포렌식 / Powershell / Sysmon View (91) | 2024.02.27 |
| [2022 화이트햇 콘테스트 본선] D-1 - 포렌식 / Powershell (92) | 2024.02.21 |