[2022 화이트햇 콘테스트 본선] E-4 - 포렌식 / IDA

 

2022 화이트햇 콘테스트 본선에 출제되었던 문제

 

이전 E-3 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/716)

 

반응형

 

E-4 문제는

 

E-2에서 식별한 악성코드가

 

Injection 하는 악성 DLL을 분석하여 플래그를 획득하는 것이 목표이다.

 

 

 

E-2 에서 식별한 악성코드인

 

FXSSVC.dll 을 IDA로 분석하다 보면

 

System32 경로에 있는 splsrv64.dll 로 뭔가를 하고있는걸 볼 수 있다.

 

아마 이 파일이 Injection 대상일거라 생각해서

 

해당파일을 찾아

 

역시 IDA를 이용해 분석해보았다.

 

 

splsrv64.dll 을 분석해보면

 

어떤 값을 0x18로 xor 하여 szUrlName 에 담고있는것을 확인할 수 있다.

 

 

xor 하는 대상은

 

여기에 보이는 HEX 값들인데

 

a = b'cKLJT]VqkKLJYV_]6)(+7k}}yj{{pG^TY_'
out = []
for c in a:
	out.append(c ^ 0x18)
bytes(out)
    
b'{STRLENisSTRANGE.103/seearcch_FLAG'

 

 

해당 값들을

 

위와 같이 간단하게 다시 역으로 

 

0x18 과 xor 해주면 된다.

 

그럼 순서가 뒤죽박죽인 플래그가 나오는데

 

잘 맞춰주면 된다.

 

이번 문제의 플래그는

 

FLAG{STRLENisSTRANGE} 였다.