![[XCZ.KR] 24번 풀이](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbpIUWq%2FbtqDQbJXCgG%2FZrW5YOV8fZOKSddhEZUoZk%2Fimg.png)
문제 종류 - Forensic
사용한 툴 - vol.py(in Kali Linux)
Flag, Hint, 정답 형식
flag: ?
hint: X
정답 형식: (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-
Hour:Min:Sec-Years)
풀이
문제에 들어가면 파일 2개가 주어진다.
ProbFile.7z.001에 압축을 풀어주자.
나는 리눅스를 이용해서 풀었기 때문에 이 파일들을 리눅스에 넣어줬다.
SSH를 이용하는 방법: https://yysecurity.tistory.com/77
이제 다음 명령어를 입력해서 메모리 덤프에 정보를 봐보자.
python vol.py -f xczprob2.001 imageinfo
.002 파일은 vol.py로 볼 수 없었다.
아무튼 Profile 정보를 찾았고 문제에 나와있는
어느날 나는 커피집에서 노트북을 놓고 잠시 자리를 비웠다.
그리고 다시 와서 작업을 하다가 작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다.
에 원인을 찾기 위해서 무슨 프로그램이 동작 되었는지 확인할 필요가 있다.
다음 명령어를 입력해주자.
python vol.py -f xczprob2.001 --profile=WinXPSP2x86 psxview
nc.exe(netcat) 가 켜져있는 모습을 확인할 수 있었다.
외부에서의 접속이 있었는지 확인해보도록 하겠다.
다음 명령어를 입력하자.
python vol.py -f xczprob2.001 --profile=WinXPSP2x86 connscan
(netscan은 Windows 7 이상부터 사용할 수 있는 기능이다. connscan은 netscan과 달리
이미 종료된 연결 정보도 알 수 있다는게 특징이다.)
접속이 확인되었다. 내부 포트는 80, 외부 포트는 59495번이다.
Key Format에서 Port = 80으로 가정하고 진행하겠다.
이제는 nc.exe가 언제 실행되었는지 확인해보도록 하겠다.
다음 명령어를 입력하자.
python vol.py -f xczprob2.001 --profile=WinXPSP2x86 psscan | grep nc.exe
날짜, 시간 정보를 모두 확인할 수 있었다. ( PID=1124 )
2012-11-02가 무슨 요일인지 검색해보면 Key 값이 완성된다.
'Wargame > XCZ.KR' 카테고리의 다른 글
| [XCZ.KR] 27번 풀이 (0) | 2020.05.01 |
|---|---|
| [XCZ.KR] 25번 풀이 (0) | 2020.05.01 |
| [XCZ.KR] 23번 풀이 (0) | 2020.05.01 |
| [XCZ.KR] 22번 풀이 (0) | 2020.05.01 |
| [XCZ.KR] 21번 풀이 (0) | 2020.04.30 |