CTF/BITSCTF 5 [BITSCTF] - [DFIR] MogamBro's guilty pleasure write up 해당 문제는 스팸메일을 분석해보라는 문제입니다. LNK파일을 분석을 해보면 Outlook과 관련된 내용이 많아서 경로를 확인해보니 다음과 같은 경로가 존재하였고 해당 경로로 이동하여 eml파일을 추출하여 분석하였습니다. 관련 문제 아이디어는 지금은 리뉴얼중인 CTF-D 사이트에서도 출제되었던 아이디어로 spamimic 사이트를 통해 풀이할 수 있는 문제입니다. 해당 사이트에 들어가서 메일의 본문 내용을 적어주고 디코딩하면 플래그를 획득할 수 있습니다. CTF/BITSCTF 2024. 2. 19. [BITSCTF] - [DFIR] Lottery write up 다음은 암호화된 secret 파일을 복호화하라는 문제입니다. Follow에 있는 pdf파일을 실행하면 해당 cve를 통해 bat파일이 실행이 되고 bat파일이 실행이 되면 lottery.exe가 설치 및 실행이 되는 것으로 파악을 했고 lottery.exe를 분석을 해봤습니다. 해당 내용을 보면 PyInstaller라는 패커를 이용한 것으로 보아 python으로 생성된 exe파일이고 해당 exe파일을 디컴파일 시켜보도록 하겠습니다. 다음과 같이 pyc파일을 획득하였고 해당 파일을 디컴파일을 하면 됩니다. decompyle3와 uncompyle6가 있는데 저는 uncompyle6는 오류가 계속 발생해서 decompyle3을 이용해서 진행했습니다. decompyle3을 통해서 디컴파일을 해주었습니다. 해당 .. CTF/BITSCTF 2024. 2. 19. [BITSCTF] - [DFIR] I'm wired in write up 이번 문제는 이제 네트워크에서 많이 나오는 bluetooth 패킷 문제입니다. 맨날 해당 문제 풀때는 github에서 코드를 가져왔는데 이번엔 코드 공부도 할 겸 직접 코드를 짜봤습니다. 분석을해보다가 \Desktop 경로에 keylog.pcapng라는 파일을 발견하였고 다음 문제에 대해서 접근했습니다. 일단 예상대로 bluetooth packet 문제였고 데이터가 있는 hid data에 해당하는 부분만 추출하였습니다. tshark.exe -r keylog.pcapng -T fields -e usbhid.data "frame.protocols == usb:usbhid" 다음과 같이 해당 hid data를 추출해주고 변환을 시켰습니다. urb_keys = urb.keys() urb_values = urb... CTF/BITSCTF 2024. 2. 19. [BITSCTF] - [DFIR] 0.69day write up 해당 문제는 공격자 공격을 할 때 이용한 CVE를 찾으라는 문제입니다. 일단 해당 문제는 MEMORY DUMP FILE, DISK IMAGE FILE, NETWORK CAPTURE FILE 중 DISK IMAGE FILE을 통해 접근을 하여 문제 풀이를 진행하였습니다. 누가봐도 수상한 파일이고 추출을 하여 virustotal에 파일을 업로드하여 flag를 획득할 수 있었습니다. 해당 취약점이 찾아보니 신기해서 한번 살펴보셔도 재밌을 것 같습니다. CTF/BITSCTF 2024. 2. 19. [BITSCTF] - [DFIR] Access Granted! write Up 안녕하세요. 이번엔 BITSCTF이고 해당 분야는 DFIR로 침해사고분석 문제입니다. 해당 문제는 MEMORY DUMP FILE, DISK IMAGE FILE, NETWORK CAPTURE FILE 이렇게 3개의 파일이 제공되며 시나리오에 맞춰서 문제를 풀이해나가는 문제입니다. 해당 문제는 PC의 password를 찾는 문제입니다. 이러한 유형의 문제들도 자주 출제되는 문제인 것 같습니다. 계정과 관련된 정보는 SAM이라는 HIVE FILE에 저장되어 있고 해당 비밀번호가 해쉬화 되어 저장되어 있습니다. DISK IMAGE 파일에서는 HIVE파일이 저장되어 있는 경로가 이미징되어 있지 않았기 때문에 MEMORY DUMP FILE을 통해서 추출을 하여 분석을 진행해주었습니다. 해당 부분에서 nthast에 .. CTF/BITSCTF 2024. 2. 19. 반응형 이전 1 다음
