[ctf-d] GrrCON 2015 #5

[ctf-d] GrrCON 2015 #5

 

 

 

레지스트리에 대해 정확하게 몰라서 구글링을 또 열심히 했다.

 

재부팅 이후 지속성을 유지하는 레지스트리 키

Microsoft\Windows\CurrentVersion\Run

 

참고: https://twoicefish-secu.tistory.com/59

 

레지스트리 키를 출력하는 명령어: printkey

-K 옵션을 사용하면 지정한 경로에 대한 레지스트리 키만 출력함

 

앞서 알게 된 레지스트리 키를 경로로 지정하고 키 출력

volatility ~ -f ~.vmss --profile=~ printkey -K "Microsoft\Windows\CurrentVersion\Run"

 

 

키가 총 두 개가 출력이 되었는데

두 개 중에 아래 키를 보면

AnyConnectInstaller.exe

어딘가 익숙한 파일 이름이다

 

#2에서 찾은 공격자가 사용한 파일!

플래그는 MrRobot

 

 

성공!