[ctf-d] GrrCON 2015 #1

[ctf-d] GrrCON 2015 #1

 

 

 

 

문제에서 전자 메일 주소는 무엇인가? 라고 물었으니

플래그는 메일 형식일 것이다!

라고 생각을 하고 문제를 해결했다.

 

다운로드 받아야 하는 파일이 보니까 .vmss 형식이다.

찾아봤다.

 

VM웨어에서 일시중단된 상태의 파일이라고 한다.

 

 

 

 

 

먼저 운영체제의 프로파일 정보를 알아내기 위해

volatility ~ -f ~.vmss imageinfo

사용

 

 

Win7SP1x86_23418

 

 

 

 

 

프로세스 정보 확인

pstree

volatility ~ -f ~.vmss --profile=~ pstree

 

 

 

 

 

psscan

volatility ~ -f ~.vmss --profile=~ psscan

 

 

아무 것도 안 나옴

 

 

 

 

 

네트워크 정보 확인 (이 문제를 푸는 데 크게 필요한 과정은 아닌 것 같지만)

volitility ~ -f ~.vmss --profile=~ netscan

 

 

 

 

LISTENING, CLOSED, ESTABLISHED 등의 상태 정보 확인 가능

 

 

 

 

 

 

memory dump

를 해야 해서 PID 찾기

 

 

뭔가 익숙한 게 있다

outlook이 마이크로소프트에서 지원하는 전자 메일인데

플래그 형식이 이메일인 것 같아서 이걸로 실습을 진행해봤다.

 

 

 

 

 

volatility ~ -f ~.vmss --profile=~ memdump -p 3196 -D ./

 

 

dmp 파일이 추출되었다.

 

 

 

 

 

dmp 파일을 읽기 위해 txt 파일로 변환해주었다.

strings.exe 3196.dmp >> 3196.txt

 

 

 

 

 

 

txt 파일에서 메일 형식을 찾으려고

@를 검색해봤는데

검색 결과가 너무 많아서 찾을 수가 없었다

어떻게 찾지 고민하다가 .com 검색

이것도 검색 결과가 많긴 했는데 조금 보다보니까

플래그처럼 생긴 메일이 하나 나왔다

 

 

th3wh1t3r0s3@gmail.com

 

 

성공!