[2022 화이트햇 콘테스트 본선] C-1 - 포렌식 / Powershell

 

2022 화이트햇 콘테스트 본선에 출제되었던 문제

 

이전 B-5 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/701)

 

반응형

 

C-1 문제는

 

공격자가 두번째 호스트로 이동하기 위해

 

PC에 생성한 작업의 이름을 찾는것이 목표이다.

 

 

침해사고 당한 Win10 이미지를 조사하다가

 

C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine

 

경로에 ConsoleHost_histroy.txt 파일을 찾았다.

 

해당 파일은 파워쉘 명령어 실행 기록이 저장되는데

 

 

열어서 내용을 확인해보니

 

Base64 인코딩된 파워쉘 명령어들을 찾을 수 있었다.

 

$base64EncodedString = "여기에_Base64_문자열_입력"; 
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64EncodedString))

 

디코딩하기 위해선

 

위의 파워쉘 스크립트를 사용하면 된다.

 

 

디코딩하면 또 잔뜩 난독화된

 

파워쉘 스크립트가 나온다.

 

다 다시 분석해야 하나 절망하고 있었는데

 

 

다행이 이번 문제의 플래그는

 

난독화된 스크립트 맨 아래애

 

난독화되지 않은 채로 있었다.

 

스케줄을 등록하는 Register-ScheduledTask 로

 

Cline Manager 라는 이름의 스케줄을 등록하고 있는 모습이다.

 

따라서 이번 문제의 플래그는

 

FLAG{Client Manager} 가 된다.