| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- base64
- beebox
- elasticsearch
- InsecureBank
- 2018
- lord of sql injection
- 안드로이드
- CTF-d
- 인시큐어뱅크
- logstash
- Volatility
- Docker
- otter
- frida
- diva
- NTFS
- foremost
- vulnhub
- Reflected XSS
- SQL Injection
- 파이썬
- ESXi
- ctf
- kibana
- XSS
- Strings
- MFT
- igoat
- Suninatas
- Openstack
- Today
- Total
목록CTF (24)
Information Security
Path To Glory
pslist를 통해 torrent가 동작하는 것을 알 수 있다. filescan을 통해 torrent 파일만 검색했다. 0x000000007dae9350 파일을 추출해보겠습니다. strings 명령어로 0x000000007dae9350 문자열을 확인했다.
Hide And Seek
pstree로 보면 vmware-tray.ex 파일이 수상한 것을 알 수 있다. pslist를 보면 Rick And Morty 하위에 오는 프로세스인데 PPID 부모 프로세스 값이 다르다는 것을 알 수 있다.
Silly Rick
복사해서 붙여넣기를 하기 때문에 클립보드에 남아있어 서 clipboard 플러그인을 사용해 검색했다.
Name Game
PID 708의 Dump를 떠보았다. strings 708.dmp > 708.txt로 만들어 Lunar로 검색해 username을 확인했다.
Play Time
어떤 프로그램을 사용하고 있는지 프로세스를 확인하기 위해 pslist 플러그인을 사용했다. 수상한 프로세스 LunarMs.exe, Rick And Morty 프로세가 수상한 것을 알 수 있다. 수상한 LunarMS.exe 프로세스를 grep으로 조회했다.
General Info
netscan으로 IP부터 조회했다. PC명은 HKLM/SYSTEM 키의 가상 주소를 확인했다. PC 이름은 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName 에 들어있습니다. printkey 플러그인을 이용해서 레지스트리 키 파일 주소를 입력하고 경로를 이용해서 키값을 확인해 보겠습니다.
what the password?
OtterCTF.vem 메모리 덤프 파일을 imageinfo 플러그인을 사용했다. profile은 Win7SP1x64를 사용하고 password를 사용하기 위해 hivelist 파일의 가상 주소를 찾았다. 계정의 Password가 존재할 것 같은 SAM 파일과 SYSTEM파일을 Rick 사용자의 NTLM 크랙 했지만 아무것도 나오지 않았다. Password를 시스템 LSA 암호에 저장할 수도 있기 때문에 lsadump 플러그인을 이용해 조회했다. 윈도우 계정의 Password를 알아낼 수 있는 mimikatz를 이용해도 Password가 동일한 것을 알 수 있다.