[ctf-d] 판교 테크노밸리 K기업에서... #1

[ctf-d] 판교 테크노밸리 K기업에서... #1

 

 

 

 

용의자가 가장 많이 접근한 사이트 URL과 마지막 접근 시간을 찾아야 한다.

키 포맷이 URL(http://aaa.bbb.ccc) 인 걸 봐서 #1에서는 URL을 찾는 것이고

#2에서의 키 포맷이 시간일 것 같다.

 

 

 

 

 

문제 파일의 Users 폴더를 보니 7ester라는 user가 있다.

 

 

 

 

 

7ester 유저의 로컬 파일을 보니 Microsoft 폴더가 있다.

 

 

 

 

용의자가 사이트에 접근할 때 인터넷 익스플로러를 사용한 것 같다.

인터넷 익스플로러를 분석하기 위해서는 IE10 analyzer를 사용해야 한다는 사실을 알게 되었다!!

 

 

 

 

 

IE10 analyzer에서 파일을 열 때 .dat 파일을 사용해야 함

 

 

그래서 위의 폴더에서 .dat 형식의 파일을 찾았다.

파일 오픈에서 WebCache.dat 파일 이름으로 힌트를 받은 것 같아서

비슷한 이름의 .dat 파일을 찾았다.

 

 

 

 

 

Windows - WebCache 폴더가 있다.

여기서 파일을 찾을 수 있을 것 같다.

 

 

 

 

 

 

WebCacheV24 라는 이름의 dat 파일이 있다.

 

 

 

 

 

 

이 파일을 IE10 Analyzer에서 열어보았다.

 

 

 

 

 

 

아무래도 History를 봐야할 것 같다는 느낌이 든다.

 

 

방문한 URL을 보니

반복적으로 www.hanrss.com 에 접속한 것을 확인할 수 있다.

 

 

 

키 포맷에 맞춰보면 플래그는

URL(http://www.hanrss.com)

 

 

 

 

성공!