Information Security

pstree로 보면 vmware-tray.ex 파일이 수상한 것을 알 수 있다. pslist를 보면 Rick And Morty 하위에 오는 프로세스인데 PPID 부모 프로세스 값이 다르다는 것을 알 수 있다.

복사해서 붙여넣기를 하기 때문에 클립보드에 남아있어 서 clipboard 플러그인을 사용해 검색했다.

5a 0c 00 00 값 중 뒤에 나오는 문자열을 확인할 수 있다.

PID 708의 Dump를 떠보았다. strings 708.dmp > 708.txt로 만들어 Lunar로 검색해 username을 확인했다.

어떤 프로그램을 사용하고 있는지 프로세스를 확인하기 위해 pslist 플러그인을 사용했다. 수상한 프로세스 LunarMs.exe, Rick And Morty 프로세가 수상한 것을 알 수 있다. 수상한 LunarMS.exe 프로세스를 grep으로 조회했다.

netscan으로 IP부터 조회했다. PC명은 HKLM/SYSTEM 키의 가상 주소를 확인했다. PC 이름은 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName 에 들어있습니다. printkey 플러그인을 이용해서 레지스트리 키 파일 주소를 입력하고 경로를 이용해서 키값을 확인해 보겠습니다.

OtterCTF.vem 메모리 덤프 파일을 imageinfo 플러그인을 사용했다. profile은 Win7SP1x64를 사용하고 password를 사용하기 위해 hivelist 파일의 가상 주소를 찾았다. 계정의 Password가 존재할 것 같은 SAM 파일과 SYSTEM파일을 Rick 사용자의 NTLM 크랙 했지만 아무것도 나오지 않았다. Password를 시스템 LSA 암호에 저장할 수도 있기 때문에 lsadump 플러그인을 이용해 조회했다. 윈도우 계정의 Password를 알아낼 수 있는 mimikatz를 이용해도 Password가 동일한 것을 알 수 있다.

http://34.82.101.212:8005 URL 접속했다. 해당 페이지 소스코드를 보면 hint에 관련된 URL을 확인할 수 있다. HINT 관련된 URL 접속 시 ../flag.txt 경로를 확인할 수 있다. bamboofox.cs.nctu.edu.tw:8005/flag.txt 접속 시 FLAG 값을 확인할 수 있다.