[DEFCON DFIR CTF 2019] Triage VM Questions

Who's That User?

user의 이름은 무엇인가? 라는 문제입니다.

 

vmdk 파일이 있길래 DFA_CTF_Triage.vmdk 파일을 FTK Imager 로 열어서 확인했습니다.

 

Flag : flag<Bob>

 

 

Thee who logged in last

 

가장 최근에 로그온한 시간은 언제인가? 라는 문제 입니다.

 

최근 로그온 시간은 SAM 파일에 나와 있기 때문에 export 해서 확인해 보겠습니다.

[root]\Windows\System32\config\SAM 경로에 있습니다.

 

레지스트리 분석 도구중 하나인 rip.exe 로 풀이를 해볼생각입니다.

 

rip.exe -r "SAM경로" -f sam

 

Flag : flag<03/22/2019 20:50:51>

 

 

Down Time? More like Frown Time

마지막으로 종료한시간이 언제인가요? 라는 문제 입니다.

 

종료를 할때 -shotdown을 하기 때문에 SYSTEM 레지스트리에 있을것 같습니다.

 

rip.exe -r "SYSTEM 경로" -p shutdown

 

Flag : flag<03/22/2019 21:11:14>

 

 

No one's ever really gone... *Palpatine Laugh*

7z 아카이브가 삭제되었는데, 안에 있는 파일의 CRC32 해시값은? 이라는 문제입니다. 

 

일단 FTK Imager로 삭제된 7z 파일을 찾아 봅시다.

삭제됬다는 것은 NTFS 인 윈도우 운영체제 에서는 휴지통인 $Recycle.Bin에 들어갑니다.

.\Bob\$Recycle.Bin\S-1-5-21-1497316740-357279761-3945674337-1000\$RATGMO5.7z 가 있습니다.

 

파일을 열어서 해시를 확인하면 다음과 같습니다.

 

Flag : flag<ad96120c>

 

 

Now, is no time at all 

해당 머신의 현재 timezone은 무엇입니까?? 라는 문제입니다.

컴퓨터의 시간대는 SYSTEM 레지스트리에 있습니다.

 

rip.exe -r "SYSTEM 경로" -p timezone

 

SYSTEM 레지스트리를 직접 열어보기도 하겠습니다.

Tiemzone의 경로는 다음과 같습니다.

HEKY_LOCAL_MACHINE\SYSTEM\CurrentControl\Control\TimeZoneInformation 에 있습니다.

 

12C는 300이라는 값으로 5시간을 의미합니다.

 

Flag : flag<UTC-5>

 

 

IT'S OVER 1000

 

RID 값이 1000이상인 사용자의 수는? 이라는 문제 입니다.

 

rip.exe -r "SAM경로" -f sam

 

Flag : flag<1>

 

 

Go Go Gadget Google Extension

 

설치된 크롬 확장의 ID는? 이라는 문제입니다.

일단 설치된 확장 프로그램을 확인하기 위해서는 

[root]\Users\Bob\AppData\Local\Google\Chrome\User Data\Default\Extensions 경로에서 확인 할 수 있습니다.

 

이게 전부 키값입니다.

폴더를 열어보면 하나의 키값에서만 많은 양의 폴더가 있습니다.

 

Flag : flag<hnbmfljfohghaepamnfokgggaejlmfol>

 

 

Run, Adobe, Run!

 

adobe reader 를 얼마나 많이 실행했는가?에 대한 문제 입니다.

 

해당 로그는 NTUSER.DAT에 있기 때문에 rip.exe 를 이용해서 풀어보겠습니다.

 

rip.exe -r "C:\Users\WS1004\Desktop\Adam Ferrante - Triage-VM\CTF_Triage_DFA\추출\NTUSER.DAT" -p userassist | findstr Adobe

 

 

Flag : flag<7>

 

 

Should I use my invisibility to fight crime or for evil?

 

숨겨진 실행 파일이 바탕화면에 있다. 파일 이름( 확장자 포함 )은? 이라는 문제입니다.

 

바탕화면 이라고 했으니 Bob폴더 하위의 Desktop으로 가서 Hidden이 False 가아닌 True인 파일을 찾으면 됩니다.

 

예시로 위의 사진을 보면 Desktop은 당연히 Hidden 파일이 아니므로 False입니다.

 

howudoin.exe 파일이 숨겨진 파일입니다.

 

Flag : flag<howudoin.exe>

 

 

It's all in the timing

 

사용자가 placeholder.com에 접근한 시간은? 이라는 문제입니다.

 

파일에서 Chrome 이라는 폴더를 봤었습니다. 

Chrome의 histroy file을 export해서 ChromeHistoryView tool에 넣어 보겠습니다.

 

Flag : flag<01:12>

 

 

The Hostess with the Mostest

 

해당 머신의 hostname 은? 이라는 문제입니다.

 

rip.exe 명령어 옵션중에 호스트 네임을 알려주는 모듈인 compname.pl을 이용해서 찾아 보겠습니다.

 

Flag : flag<IM-A-COMPOOTA>

 

 

These messages aren't goona message themselves!

 

다운로드한 메시지 관련 어플리케이션은 무엇인가? 라는 문제입니다.

 

일단 download 폴더로 들어가서 찾아보겠습니다.

 

Flag : flag<skype>

 

 

Dang it Bobby

 

Bob Outlook.com에 얼마나 많이 접근했는가? 라는 문제입니다.

 

Outlook.com 은 URL 이므로 Chorme으로 들어 갔을 가능성이 큽니다.

ChromeHistroyView를 이용해서 확인해 보겠습니다.

 

 Flag: flag<3>

 

 

Damnit Bobby!

Bob이 HR 역할을 하고 있었던 것 같다. R.C.라는 이니셜을 가진 사람의 사회보장번호를 찾을 수 있는가? 라는 문제입니다.

 

사회 보장 번호라면 Employee 관련 파일과 관련이 있을 것 입니다.

 

EmployeeInformation.xlsx 파일이 있습니다! 한번 확인해 보겠습니다.

 

 

Flag : flag<601-25-0735>

 

 

Get back to work Sponge Bob me boy

 

Bob이 직장에서 유튜브를 보았는데, 유튜브 비디오 ID가 N9NCyGaxoDY 였다. 그 비디오의 제목은 무엇인가? 라는 문제입니다.

 

해당 문제도 Chorme의 History 파일을 가지고 문제를 해결할 수 있습니다.

 

Flag : flag<Rowan Atkinson Toby the Devil - Welcome to Hell>

 

 

*Laughs in Hidden*

 

Bob는 파워포인트 파일을 은닉시켰다. 해당 파일의 crc32 해시값은 무엇인가? 에 대한 문제 입니다.

 

Autopsy 툴을 이용해서 은닉된 PPT 파일을 찾아 보겠습니다.

 

Desktop 폴더를 확인하던중 kidgoatthing.jpg 라는 파일이 2개가 있어서 확인해 봤더니 ppt 파일이였으나 확장자만 변경 한것을 확인 할 수 있었습니다.

 

 

Flag : flag<076A3AF5>

 

 

Desktop Flag 1: Just the start of the fun

C:\Users\Bob\Desktop\WABBIT\1의 flag 는 무엇인가? 라는 문제입니다.

 

해당경로의 1이라는 파일의 값을 한번 찾아 보겠습니다.

 

Flag : flag<program cannot be run in DOS>

 

 

Desktop Flag 2 : Electric Boogaloo

 

C:\Users\Bob\Desktop\WABBIT\2의 flag 는 무엇인가? 라는 문제입니다.

 

 

2라는 파일을 추출해서 HxD로 확인해 보겠습니다.

 

NETSCAPE2 는 GIF 파일에서 나오는 시그니처 입니다. 00 00 00 00 00 00 으로 되어있는 곳을 복구해 보겠습니다.

 

확장자를 바꾸고 확인해 보면...

 

Flag : flag<taco_bout>

 

 

Desktop Flag 3 : Need for Speed

 

C:\Users\Bob\Desktop\WABBIT\3의 flag 는 무엇인가? 라는 문제입니다.

 

 

파일을 추출하고 HxD를 열어보면 다음과 같습니다.

 

 

링크를 들어가 보겠습니다.

 

 

Flag : flag<DragonForce>

 

 

Desktop Flag 4: Want some more?

 

C:\Users\Bob\Desktop\WABBIT\4의 flag 는 무엇인가? 라는 문제입니다.

 

 

파일을 추출하고 HxD로 값을 확인해 보면...

 

 

Header가 FF D8 이어야 하고 Footer도 이상합니다. FF D9로 변경해 주고 확인해 보겠습니다.

 

 

Flag : flag<wof_on_champ>

 

 

Now watch me youuuuuuuu

 

드라이브 문자"U"가 있는 장치가 연결 되었습니다. 볼륨의 라벨은? 이라는 문제입니다.

 

 

"C:\Users\Bob\AppData\Roaming\Microsoft\Windows\Recent" 경로에서 찾아보면 U문자가 붙어있는 파일이 있습니다.

 

Flag : flag<ZOOM>

 

 

Desktop Flag 5: No, you can't have more time

 

C:\Users\Bob\Desktop\WABBIT\5의 flag 는 무엇인가? 라는 문제입니다.

 

 

파일을 추출하고 HxD로 확인해 보겠습니다.

 

 

이번에는 PDF 파일인데 헤더가 변조 되어있네요.

 

그리고 .pdf 바꾸고 열어보면 다음과 같이 흰 화면만 나오는데 드래그 해보면 다음과 같습니다.

 

Flag : flag<pdf_LOLZ>

 

I will look for you, I will find you... and I will hash you

 

문제와 같은 hash 값의 파일의 이름을 찾아달라는 문제입니다.

이걸 하나하나 보기엔 시간이 분명 엄청 많이 걸리니 hash list 를 추출하겠습니다.

 

 

 

Flag : flag<sleepy.png>

 

 

Easy Peasy Lemon Squeezy

그래서 DFA 지도부가 지쳤다...바탕화면에 깃발이 뭐야? 라는 질문입니다.

 

sleepy.png 파일을 열어보면 될 것 같습니다.

저기 스티커메모에 적힌 문자열이 FLAG!!

 

Flag : flag<holla>

 

 

Can you like... not?

밥은 다른 파일 안에 파일을 숨기는 것에 약간 미쳐가고 있었던 것 같다. 당신은 판매 시구에 대한 파워포인트 안에 깃발을 찾을 수 있는가? 플래그가 발견된 방법을 정확히 복사하십시오. 라는 문제입니다.

 

앞서 분석하던중 Documents 폴더에서 pptx 파일이있는것을 확인 했었습니다.

 

 

추출하고 HxD를 확인해 보겠습니다.

 

 

pptx 파일이 아닌 zip 파일입니다!

 

열어서 ppt\slides\slide1.xml을 HxD로 확인해 보겠습니다.

 

Flag : <flag="welikeslidestoo">

 

 

KA-CHOW

 

제리는 경주용 자동차 운전사였다. 라는 문제였다.

 

Desktop\jerry was a race driver 파일을 추출해서 확인해 보겠습니다.

 

 

 

Flag : flag<nascar_murica>