한양대에서 개최한 HCTF에 참가했다. 포렌식 분야는 2문제가 출제되었다.
writeup
pcap 파일이 제공되며, 패킷에서 pdf를 추출할 수 있다.
write up 파일으로 보이지만, CONFIDENTIAL 문자열로 아래 부분이 가려져 있다.
docs 파일을 pdf로 만든 것으로 보인다. 다시 docs 파일로 만들어보자.
PDF를 Word로 변환: 무료 온라인 변환 툴 | Adobe Acrobat
간단한 온라인 툴을 사용하여 PDF를 Word로 변환하세요. 무료로 PDF를 Word로 변환해 보세요.
www.adobe.com
레이어가 분리된다. 삭제해보자.
숨겨져있던 플래그를 확인할 수 있다.
느낀점
misc 느낌의 문제였던 것 같다.
hacked by usb
usb에서 특정 악성 파일을 복사해서 실행했다고 문제 설명에 쓰여 있었다.
이미지 파일을 분석하는 문제이다.
이미지에서 휴지통에서 수상한 exe 파일이 있는 것을 확인했다. 추출해서 분석해보자.
PE 파일의 SECTION .rdata에서 플래그 형식을 확인할 수 있다.
HCTF{<name of the usb>_1m4ge_an4lysi5}이미지 안에서 <name of the usb> 를 찾아내야 하는 것 같다.
이미지 안에서 SYSTEM을 추출하고 Registry Explorer를 이용해서 레지스트리를 분석할 수 있다
SYSTEM의 경로는 rootfs/windows/system32/config 에 있다.
ROOT/ControlSet001/Enum/USBSTOR
- Title: Prod_Cruzer_Blade
- Version: Rev_1.27
- Disk Id: {f5973cc2-9c20-19ef-bd32-080027d83e28}
- Serial Number: 4C5303100706031459380
- Device Name: SanDisk Cruzer Blade USB Device
ROOT/ControlSet001/Enum/USBSTOR에서 연결된 USB를 확인할 수 있다.
하지만 Device Name는 플래그가 아니었다. USB의 파티션 이름을 찾아야 하는 것 같다.
ROOT/ControlSet001/Enum/SWD/WPDBUSENUM
FriendlyName에서 F0R3NS1CS 를 볼 수 있는데, 이게 USB의 파티션 이름이다.
HCTF{F0R3NS1CS_1m4ge_an4a1ysi5}
느낀점
다음엔 usbDeview.exe 툴도 사용해보자...