[2022 화이트햇 콘테스트] H-2 - 포렌식 / Powershell

 

2022 화이트햇 콘테스트 예선에 출제되었던 문제

 

이전 H-1 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/681)

 

반응형

 

H-2 문제는

 

공격자가 스크린 캡처, 클립보드 데이터 유출 시

 

secure shell 을 활용했는데,

 

이 때 공격자가 파일을 업로드한 서버의 계정 및 암호를 찾는것이 목표이다.

 

사실 이번 문제는 거의 공짜로 주는 문제였다..

 

이전 문제에서 이미 다 답을 구해놨기 때문..

 

 

위 파워쉘 스크립트들이

 

스크린 캡쳐, 클립보드 데이터를 유출하는 내용인데

 

 

공통적으로 들어가 있는

 

이 부분을 보면 된다.

 

pscp.exe 를 이용해 원격지인

 

192.168.35.85로 데이터를 유출하는데

 

-pw 옵션으로 알 수 있듯이

 

비밀번호는 l@2@ruz!! 이고

 

서버 계정은 ip 주소 앞에 써있는 lazarus 가 된다.

 

따라서 이번 문제의 플래그는

 

FLAG{lazarus_l@2@ruz!!} 가 된다.