2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 E-3 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/716)
반응형
E-4 문제는
E-2에서 식별한 악성코드가
Injection 하는 악성 DLL을 분석하여 플래그를 획득하는 것이 목표이다.
E-2 에서 식별한 악성코드인
FXSSVC.dll 을 IDA로 분석하다 보면
System32 경로에 있는 splsrv64.dll 로 뭔가를 하고있는걸 볼 수 있다.
아마 이 파일이 Injection 대상일거라 생각해서
해당파일을 찾아
역시 IDA를 이용해 분석해보았다.
splsrv64.dll 을 분석해보면
어떤 값을 0x18로 xor 하여 szUrlName 에 담고있는것을 확인할 수 있다.
xor 하는 대상은
여기에 보이는 HEX 값들인데
a = b'cKLJT]VqkKLJYV_]6)(+7k}}yj{{pG^TY_'
out = []
for c in a:
out.append(c ^ 0x18)
bytes(out)
b'{STRLENisSTRANGE.103/seearcch_FLAG'
해당 값들을
위와 같이 간단하게 다시 역으로
0x18 과 xor 해주면 된다.
그럼 순서가 뒤죽박죽인 플래그가 나오는데
잘 맞춰주면 된다.
이번 문제의 플래그는
FLAG{STRLENisSTRANGE} 였다.
반응형
'CTF > 포렌식' 카테고리의 다른 글
[2022 화이트햇 콘테스트 본선] E-5- 포렌식 / Sysmon View / Powershell (108) | 2024.03.30 |
---|---|
[2022 화이트햇 콘테스트 본선] E-3 - 포렌식 / Sysmon View (93) | 2024.03.16 |
[2022 화이트햇 콘테스트 본선] E-2 - 포렌식 / Powershell / Certutil (114) | 2024.03.10 |
[2022 화이트햇 콘테스트 본선] E-1 - 포렌식 / WinPrefetchView (101) | 2024.03.04 |
[2022 화이트햇 콘테스트 본선] D-2 - 포렌식 / Powershell / Sysmon View (91) | 2024.02.27 |