ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Securinets-2K20 PreQuals CTF write up
    $ Capture The Flag $ 2020. 3. 23. 13:02

     

    해당 이미지 메모리 덤프 파일을 대상으로 imageinfo를 진행해 보겠습니다.

     

    Win7SP1x86을 이용해 보겠습니다.

     

    filescan 플러그인을 이용해서 파일을 확인해 보면 눈에 띄는 파일이 있습니다.

    사용자는 바탕화면을 자주 사용하기 때문에 경로를 살펴 보면 \Device\HarddiskVolume2\Users\studio\Desktop 였습니다.

    아래와 같이 검색해 보면 아래와 같이 수상한 파일 2개를 확인 할 수 있습니다.

     

    steghide 와 DS0394.jpg 파일이 있기 때문에 해당 이미지 파일을 추출해서 steghide를 이용해서 은닉된 데이터를 추출해야 할 것 같습니다.

     

    사진을 확인해 보면 오른쪽 아래에 2019/08/29 라고 되어 있습니다.

     

    이제 steghide 에 사용할 비밀 번호를 찾아야 하는데 NTLM 해시값을 크랙해도 안됬습니다.

    그래서 mimikatz를 이용해서 Password를 한번 찾아보겠습니다.

     

    비밀번호가 Messi2020 입니다. 

     

    하지만 Messi2020 을 비밀번호로 사용하면 아래와 같이 추출이 안됩니다.

     

    앞서 사진에 시간이 2019/08/29 이기 때문에 비밀번호를 Messi2019 로 해보면 추출이 됩니다.

     

    추출된 image.png에서 Flag를 찾아 볼 수 있습니다.

     

    Flag : Securinets{c7e2723752111ed983249627a3d752d6}

    '$ Capture The Flag $' 카테고리의 다른 글

    SuSeC CTF 2020 write up  (0) 2020.03.23
    angstrom CTF 2020 write up  (0) 2020.03.15
    zer0pts CTF 2020 write up  (0) 2020.03.12
    UTCTF 2020 write up  (0) 2020.03.09
    2020 NEWSECU CTF write up  (5) 2020.02.23

    댓글

Designed by Tistory.