Securinets-2K20 PreQuals CTF write up

 

해당 이미지 메모리 덤프 파일을 대상으로 imageinfo를 진행해 보겠습니다.

 

Win7SP1x86을 이용해 보겠습니다.

 

filescan 플러그인을 이용해서 파일을 확인해 보면 눈에 띄는 파일이 있습니다.

사용자는 바탕화면을 자주 사용하기 때문에 경로를 살펴 보면 \Device\HarddiskVolume2\Users\studio\Desktop 였습니다.

아래와 같이 검색해 보면 아래와 같이 수상한 파일 2개를 확인 할 수 있습니다.

 

steghide 와 DS0394.jpg 파일이 있기 때문에 해당 이미지 파일을 추출해서 steghide를 이용해서 은닉된 데이터를 추출해야 할 것 같습니다.

 

사진을 확인해 보면 오른쪽 아래에 2019/08/29 라고 되어 있습니다.

 

이제 steghide 에 사용할 비밀 번호를 찾아야 하는데 NTLM 해시값을 크랙해도 안됬습니다.

그래서 mimikatz를 이용해서 Password를 한번 찾아보겠습니다.

 

비밀번호가 Messi2020 입니다. 

 

하지만 Messi2020 을 비밀번호로 사용하면 아래와 같이 추출이 안됩니다.

 

앞서 사진에 시간이 2019/08/29 이기 때문에 비밀번호를 Messi2019 로 해보면 추출이 됩니다.

 

추출된 image.png에서 Flag를 찾아 볼 수 있습니다.

 

Flag : Securinets{c7e2723752111ed983249627a3d752d6}