[2022 화이트햇 콘테스트] H-1 - 포렌식 / Powershell / XOR

 

2022 화이트햇 콘테스트 예선에 출제되었던 문제

 

이전 G-2 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/679)

 

반응형

 

H-1 문제는

 

공격자가 스크린 캡쳐를 위해

 

사용한 스크립트에서 플래그를 획득하는 것이 목표이다.

 

 

지난 문제에서

 

위와 같이 스크린 캡쳐하는 

 

파워쉘 스크립트를 찾았었다.

 

pscp.exe를 이용해 C2 서버로 데이터를 전송하는데

 

스크립트 중간에 보면 뭔가 수상한게 껴있다.

 

 

 

바로 이 부분인데

 

어떤 숫자들이 있고

 

$xorkey 에는 77이 정의되어 있다.

 

뭔가 XOR을 해야할것 같은 느낌이다.

 

 

 

CyberChef(https://gchq.github.io/CyberChef) 에서

 

해당 값을 디코딩 해준 뒤,

 

77로 XOR하고, 역순으로 배열해주게 되면

 

숨어있던 플래그를 찾을 수 있다.