[2022 화이트햇 콘테스트] F-4 - 포렌식 / Winhex

 

2022 화이트햇 콘테스트 예선에 출제되었던 문제

 

이전 F-3 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/673)

 

반응형

 

F-4 문제는

 

공격자가 피해 호스트에서 유출한 정보에서 

 

플래그를 획득하는 것이 목표이다.

 

 

 

처음엔 피해 호스트에 주기적으로 뜨는 CMD 창에서

 

힌트가 있다고 생각해

 

여기 있는 파일들을 위주로 살펴봤는데 아니었다.

 

 

한참 헤매다가

 

C:\Users\Kang\AppData\Roaming\Microsoft\Windows\Recent 경로를 살펴보니

 

flag.txt 파일이 있는게 보였다.

 

 

 

눌렀더니 .lnk 파일인듯

 

바로가기가 올바르지 않다고 한다.

 

 

 

그래서 우클릭 - 속성에 들어가 봣는데

 

C:\Users\Kang\Downloads\flag.txt 경로에 원본이 있다는 것을 알 수 있었다.

 

 

 

하지만 아까 봤듯이

 

Downloads 폴더 내에 해당 파일은 삭제된 후였다.

 

 

 

어떻게 해야하나 고민하다가 Winhex 를 이용해

 

침해사고 이미지의 파일시스템을 불러와서

 

삭제된 flag.txt 흔적을 찾았다.

 

flag.txt를 우클릭 - Recover/Copy... 를 눌러 복원해준다.

 

 

복원한 파일 안에서 플래그를 찾을 수 있었다.