- 분류 전체보기 (454)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
- diva
- Strings
- XSS
- dreamhack
- InsecureBank
- vulnhub
- kibana
- SQL Injection
- Suninatas
- foremost
- Reflected XSS
- otter
- ESXi
- Openstack
- 인시큐어뱅크
- igoat
- binwalk
- base64
- Docker
- beebox
- MFT
- elasticsearch
- ctf
- 안드로이드
- lord of sql injection
- Volatility
- 2018
- frida
- filescan
- CTF-d
- Today
- Total
Information Security
MemLabs Lab 2 - A New World 본문
문제
저희 회사 고객 중 한 명이 알 수 없는 오류로 인해 시스템 접근 권한을 잃었습니다. 그는 매우 유명한 "환경" 운동가로 알려져 있습니다. 조사 과정에서 그는 브라우저, 비밀번호 관리자 등을 주로 사용한다고 밝혔습니다. 이 메모리 덤프를 분석하여 그의 중요한 정보를 찾아 저희에게 보내주시면 감사하겠습니다.
참고사항 : 이 챌린지는 3개의 플래그로 구성되어 있습니다.
imageinfo 플러그인을 통해 메모리 이미지의 운영체제를 확인하였습니다.
python vol.py -f MemoryDump_Lab2.raw imageinfo
pslist 플러그인을 통해 프로세스 목록을 확인해 보면 Chrome.exe, KeePass.exe 프로세스들이 동작하는 것을 알 수 있습니다.
python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1x64 pslist
문제를 보면 "환경"이라는 단어에 환경변수에 힌트가 있을 것 같아 NEW_TMP 만을 출력하면 수상한 ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9 문자열을 알 수 있습니다.
python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1x64 envars | findstr NEW_TMP
해당 문자열을 ZmxhZ3t3M2xjMG0zX1QwXyRUNGczXyFfT2ZfTDRCXzJ9 base64를 디코딩하면 아래와 같이 flag{w3lc0m3_T0_$T4g3_!_Of_L4B_2} 알 수 있습니다.
KeePass 프로세스는 비밀번호 관리하는 프로그램이라는 것을 찾아보면 알 수 있습니다. 비밀번호를 데이터베이스 저장하고 확장명으로 .kdbx 마스터 비밀번호로 찾는 것을 알 수 있습니다.
python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1x64 filescan | .kdbx
filescan 플러그인을 통해 "password" 파일을 스캔해 보았습니다.
python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1x64 filescan | findstr "password"
Password.png 이미지 파일을 추출해 보았습니다.
python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1x64 dumpfiles -Q 0x000000003fce1c70 -D dump
아래와 같은 이미지 파일을 확인할 수 있습니다. 이미지 오른쪽 하단에 Password를 알 수 있습니다.
dumpfiles 플러그인을 통해 0x000000003fb112a0 덤프파일을 추출했습니다.
python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1x64 dumpfiles -Q 0x000000003fb112a0 -D dump
KeePass 프로그램을 통해 추출한 데이터베이스 파일을 열려고 하면 이미지 파일에서 획득한 패스워드를 입력하였습니다.
Recyle Bin을 보면 Sabka Baap 계정의 패스워드를 보면 flag{w0w_th1s_1s_Th3_SeC0nD_ST4g3_!!} 값을 알 수 있습니다.
Chrome 검색기록을 확인하기 위해 https://github.com/superponible/volatility-plugins 추가 플러그인을 설치했습니다.
chromehistory 플러그인을 이용하여 검색기록을 확인하였습니다.
python vol.py --plugins=plugins/ -f MemoryDump_Lab2.raw --profile Win7SP1x64 chromehistory
URL 주소 https://mega.nz/#F!TrgSQQTS!H0ZrUzF0B-ZKNM3y9E76lg 접속을 하면 압축파일을 확인할 수 있습니다.
해당 압축파일을 풀기 위해서는 패스워드가 필요한 것을 알 수 있습니다.
압축 파일 하단에 코멘트를 보면 Password is SHA1(stage-3-FLAG) from Lab-1. Password is in lowercase. 내용을 확인할 수 있습니다.
6045dd90029719a039fd2d2ebcca718439dd100a 문자열을 얻을 수 있습니다.
압축파일에 해당 문자열을 입력하였습니다.
아래와 같은 이미지에서 flag{oK_So_Now_St4g3_3_is_DoNE!!} 알 수 있습니다.
'포렌식 > MemLabs' 카테고리의 다른 글
| MemLabs Lab 4 - Obsession (0) | 2025.12.08 |
|---|---|
| MemLabs Lab 3 - The Evil's Den (0) | 2025.12.08 |
| MemLabs Lab 1 - Beginner's Luck (0) | 2025.12.05 |
