| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- igoat
- lord of sql injection
- 인시큐어뱅크
- elasticsearch
- Openstack
- frida
- Reflected XSS
- foremost
- MFT
- ctf
- NTFS
- Volatility
- 파이썬
- 2018
- Suninatas
- Strings
- kibana
- Docker
- diva
- otter
- beebox
- ESXi
- XSS
- 안드로이드
- base64
- InsecureBank
- CTF-d
- logstash
- SQL Injection
- vulnhub
- Today
- Total
목록CTF/2018 Otter CTF (13)
Information Security
Closure
filescan 플러그인을 사용하던 중 Flag.txt를 발견했다. Flag.txt를 추출했다. 해당 파일을 HxD를 이용해서 확인했다. ILSpy 프로그램에서 파일의 확장자가 .locked 이어야 한다는 것을 알았다. HiddenTearDecrypter 프로그램을 아래와 같이 사용했다. Flag 파일이 출력되는 것을 알 수 있다.
Recovery
ILSpy에 넣어 password를 검색해보면 computerName-userName-password를 넘기는 것 같습니다. 해당 악성코드는 .net이기 때문에 UTF-16으로 인코딩하기 때문에 el 옵션을 통해 비밀번호를 추출했다. (windows 용 strings 는 -el 옵션을 사용하지 않습니다)
Graphic's For The Weak
foremost 명령어를 이용해 이미지 파일을 출력했다. png 파일 안에 Flag 값을 확인할 수 있다.
Bit 4 Bit
vmware-tray.exe을 procdump 플러그인을 이용해 덤프를 떴다. .Net assembly 파일 디컴파일인 ILSpy를 이용해서 디컴파일 해보면 해당 코드에 비트코인 주소 1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M 이라는 것을 알 수 있습니다.
Path To Glory 2
filescan을 이용해 Chrome의 History 파일을 찾았다. dumpfile을 만들었다. DB Browser for SQLite를 이용해서 DB 파일을 열어 보았다. site_url 이라는 칼럼이 존재하는데 아래의 쿼리문을 입력했다. strings 명령어를 통해 @mail.com 검색했다. mail.com에 접속해 이메일을 확인할 수 있다.
Path To Glory
pslist를 통해 torrent가 동작하는 것을 알 수 있다. filescan을 통해 torrent 파일만 검색했다. 0x000000007dae9350 파일을 추출해보겠습니다. strings 명령어로 0x000000007dae9350 문자열을 확인했다.
Hide And Seek
pstree로 보면 vmware-tray.ex 파일이 수상한 것을 알 수 있다. pslist를 보면 Rick And Morty 하위에 오는 프로세스인데 PPID 부모 프로세스 값이 다르다는 것을 알 수 있다.
