H4CKING GAME CTF(Digital Forensic-art 150)
Capture The Flag/CTF 풀이

H4CKING GAME CTF(Digital Forensic-art 150)

H4CKING GAME CTF(Forensic-art)

 

문제 설명은 위와 같습니다. 대충 램을 분석하라는 얘기인듯 합니다.

링크를 누르면 약 2GB 크기의 data.mp4라는 이름의 파일을 다운로드하게 됩니다.

 

data.mp4 file Hex value

 

해당 파일의 Hex 값을 보면 시작 부분에 데이터가 존재하지 않습니다.

스크롤을 좀 내리다보면 데이터가 보이는데 메모리 덤프 파일과 형태가 유사하여 확장자를 .dd로 변경하고 바로 볼라틸리티로 분석을 시작했습니다.

 

 

imageinfo plugin

 

.\volatility_2.6_win64_standalone.exe -f data.dd imageinfo

imageinfo 플러그인을 사용하여 해당 메모리 덤프 파일의 프로필 정보를 획득했습니다.

Profile : Win7SP1x64

 

 

pslist plugin

 

.\volatility_2.6_win64_standalone.exe -f data.dd --profile=Win7SP1x64 pslist

pslist 플러그인을 사용하여 프로세스 정보를 획득했습니다.

특별히 의심되는 프로세스는 없는 것으로 보였습니다.

 

 

cmdscan plugin

 

.\volatility_2.6_win64_standalone.exe -f data.dd --profile=Win7SP1x64 cmdscan

종종 cmd 명령어에 플래그를 남기는 ctf 문제가 있기 때문에 cmdscan 플러그인을 사용해서 입력한 명령어 기록을 확인했습니다.

DumpIt.exe를 실행한 기록 외에는 건질게 없었습니다.

 

 

filescan plugin

 

.\volatility_2.6_win64_standalone.exe -f data.dd --profile=Win7SP1x64 filescan > filelist.txt

 

filelist

 

.\volatility_2.6_win64_standalone.exe -f data.dd --profile=Win7SP1x64 filescan > filelist.txt

filescan 플러그인을 사용해서 메모리 덤프에 존재하는 파일의 리스트를 확인할 수 있습니다.

처음에는 플래그 포맷인 H4C 이런 문자열로 검색을 했는데 나오지 않아서 flag 로 검색을 해봤더니 flag.bmp 라는 파일이 존재하는 것을 확인했습니다.

아까 프로세스 리스트를 확인했을 때에 mspaint.exe가 실행되고 있었다는 것도 힌트가 될 수 있겠네요.

 

 

dumpfiles plugin

 

.\volatility_2.6_win64_standalone.exe -f .\data.dd --profile=Win7SP1x64 dumpfiles -Q 0x000000007db82b30 -D ./

dumpfiles 플러그인을 사용하여 메모리 덤프 내에 존재하는 파일 데이터를 추출할 수 있습니다.

filescan 플러그인을 통해 획득했던 flag.bmp 파일의 물리적 주소를 -Q 옵션의 인자로 넣으면 됩니다.

 

 

flag.bmp

 

dumpfiles 플러그인이 실행되면 file.None.0xfffffa80036435a0.dat 라는 파일이 생성되는데 확장자를 bmp로 변경해주고 파일을 열어보면 플래그를 획득할 수 있습니다.