[2022 화이트햇 콘테스트] F-1 - 포렌식 / Wireshark

 

2022 화이트햇 콘테스트 예선에 출제되었던 문제

 

이전 E-3 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/667)

 

반응형

 

 

F-1 문제는

 

시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드에서

 

플래그를 획득하는 것이 목표이다.

 

이번 문제는 사실 좀 개연성이 없게 해결한 감이 있다.

 

 

E-3 에서 gametime.dll 이 실행되는 것을 확인했었다.

 

 

바탕화면 Log 폴더에 제공되어 있는

 

1.pcapng 파일을 wireshark 로 열어보면

 

 

중간쯤에서

 

http://192.168.35.85/game.html 로 접속한 기록을 확인할 수 있다.

 

 

 

해당 패킷을

 

우클릭 - Follow - HTTP Stream 을 눌러 자세히 보면

 

 

MZ 헤더로 시작하는 파일을 다운로드 받은것을 확인할 수 있다.

 

아마 악성코드일 것이다.

 

 

 

아래로 살짝만 내려보면

 

파일 중간에 숨겨져 있는 플래그를 찾을 수 있다.