-
[Suninatas] forensic - 30번2022/Write-Ups 2022. 7. 27. 02:31
6팀 최민영
Suninatas forensic 30번 문제 풀이 시작
문제 파일을 다운받으니 .dat 파일이 존재하여 volatility를 사용하여 문제를 풀어보겠다.
(Window 10에서 Volatility 사용)- Volatility 명령어 참고 글 -
https://schmidtiana95.tistory.com/entry/Volatility
Volatility 플러그인
볼라틸리티를 사용한 메모리 포렌식은 직접 분석도 중요하지만 우선 플러그인 사용법을 숙달하는 것이 선행되어야 합니다. 간단하게 플러그인에 대한 설명과 실행가능한 명령어로 정리해 봤습
schmidtiana95.tistory.com
volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" imageinfo
명령어를 통해 문제 파일의 메모리 덤프 파일의 운영체제와 하드웨어 아키텍쳐 식별 정보를 출력해준다.
해당 정보를 통해 2016-05-24 18:47:40 +0900에 메모리 덤프 파일이 캡쳐 된 것과
Suggested Profile(s)를 볼 수 있었다. 여기서 Suggested Profile(s)는 앞으로 분석하는데 사용하는 값으로 이 중 Win7SP1x86을 사용하겠다.
1. 김장군 PC의 IP 주소는?
문제의 첫 번째 키를 얻기 위해서는 해당 PC의 네트워크 관련 정보를 출력해주는 명령어 netscan을 사용한다.
volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP0x86 netscan
해당 결과 값을 통하여 Local Address 즉, 김장군의 PC IP 주소가 192.168.138이라는 것을 알게 되었다.
192.168.138
2. 해커가 열람한 기밀문서의 파일명은?
이번에는 cmdscan이라는 플러그인을 사용하여 문제를 풀어볼려 하는데,
이 플러그인을 사용하는 이유는 이 cmdscan가 cmd.exe가 실행한 명령어를 나열하는 것으로
해커가 문서를 열람했다면 이에 대한 힌트가 남아있을지 모르기 때문이다.
volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP0x86 cmdscan
를 입력하여 cmdscan을 해주니 저기 cmd #0에 notepad C:\Users\training\Desktop\SecreetDocumen7.txt
라고 적혀져 있는 것을 확인하였다. 이 파일이 문제의 그 파일인 것 같다.SecreetDocumen7.txt
3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.
이제 마지막 문제는 SecreetDocumen7.txt를 추출하는 것이다.
그렇지만 아직 offset 값을 모르기에 이 offset값을 추출하는 것을 우선으로 해보겠다.
volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP0x86 filescan > offset.txt
(뒤에 >offset.txt)는 해당 파일의 내용이 너무 길어 따로 txt 파일에 내용을 담아 볼 수 있도록 도와주는 것)그래서 이 offset값을 찾기 위해 filescan을 사용해보면 폴더 내에
offset.txt 파일이 생겨 secreetDocumen7.txt의 offset 값을 확인할 수 있었다.
줄 1075: 0x000000003df2ddd8 8 0 RW-r-- \Device\HarddiskVolume1\Users\training\Desktop\SecreetDocumen7.txt
SecreetDocumen7.txt의 offset 값: 0x000000003df2ddd8
volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP0x86 dumpfiles -Q 0x000000003df2ddd8
이후 알아낸 오프셋 값을 이용해 해당 SecreetDocumen7.txt파일 추출을 시도
.dat 파일이 추출되었으며 이를 메모장 등으로 열어보면 3번 key값이 들어있는 것을 확인할 수 있었다.
하지만 문제에서는 인증키 형식 : lowercase(MD5(1번답+2번답+3번키)) 로
1번, 2번, 3번을 이어 MD5형식으로 암호화 한 뒤 소문자로 인증키를 입력해줘야 한다.
사용한 사이트
https://semalt.tools/ko/md5-hash-generator?str=192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy
MD5 해시 생성기
semalt.tools
이후 생성된 값을 소문자로 변경하여 인증키 입력
해결
'2022 > Write-Ups' 카테고리의 다른 글
[ctf-d] 이벤트 예약 웹사이트를 운영하고... (0) 2022.07.27 [ctf-d] 판교 테크노밸리 K기업에서... (0) 2022.07.27 [crescendo] Event Log Problem 01 (0) 2022.07.26 [ctf-d] 이 편리한 안드로이드... (0) 2022.07.26 [ctf-d] mystery1-mystery2 (0) 2022.07.26