CTF/MEMLABS

CTF - Obsession

Noctis41 2024. 6. 4. 21:20

해당 문제는 Github의 MemLabs의 Obsession 문제에 대한 풀이입니다.


1. Challenge description

My system was recently compromised. The Hacker stole a lot of information but he also deleted a very important file of mine. I have no idea on how to recover it. The only evidence we have, at this point of time is this memory dump. Please help me.

Note: This challenge is composed of only 1 flag.

The flag format for this lab is: inctf{s0me_l33t_Str1ng}

 

2. 풀이

해당 문제는 volatility를 통해 분서을 해야 하므로 해당 이미지의 정보를 확인한다.

명령어: .\volatility_2.6_win64_standalone\volatility_2.6_win64_standalone.exe -f .\MemLabs-Lab4\MemoryDump_Lab4.raw imageinfo

 

imageinfo

imageinfo에서는 많은 Profile을 제안해준다. 하지만 크게 생각할 것 없이 가장 처음 것을 사용해준다.

 

이 경우 의심스러운 프로세스가 있는지 먼저 확인해야하기에 pslist Plugin을 사용해준다.

명령어: .\volatility_2.6_win64_standalone\volatility_2.6_win64_standalone.exe -f .\MemLabs-Lab4\MemoryDump_Lab4.raw --profile=Win7SP1x64 pslist > pslist.log

pslist

StikyNot.exe 설명은 아래와 같이 MS사의 메모장 같은 느낌이다. 하지만 중요정보라 했으니 한 번 체크만 해보자.

StikyNot.exe

일단 주어진 설명도 너무 부족해서 고민을 하다 삭제된 데이터가 무엇이 있는지 확인을 해야할 것 같다. mftparser는

ntfs 파티션의 mft 엔트리 분석하는 Plugin으로  파일, 폴더에 대한 생성, 삭제, 수정 시간을 분석할 때 유용하다.

명령어: .\volatility_2.6_win64_standalone\volatility_2.6_win64_standalone.exe -f .\MemLabs-Lab4\MemoryDump_Lab4.raw --profile=Win7SP1x64 mftparser > mftparser.log

mftparser.log

StikyNot.exe가 메모장이니까 .txt로 검색해서 찾다보니 Important.txt라는 수상한 파일이 있었고 아래에 데이터가 FLAG 양식이였다.

FLAG: inctf(t1_is_n0t_EQu4l_7o_2_bUt_th1s_d0s3nt_m4ke_s3ns3}

나중에 다른 write up을 봐보니 이렇게 최종적으로 다가가는 것은 맞지만 중간에 iehistory라는 Plugin을 사용해 Window 탐색기를 통해 파일 및 디렉토리를 확인하여 거기서 Important.txt가 있었다는 것을 발견하고 삭제됐다는 것을 인지 한 후에 mftparser Plugin을 사용해 삭제된 Important.txt를 확인 했어야 했다.
나는 문제 시나리오에서 중요한 파일을 삭제했다고에 초점을 맞춰 삭제된 파일을 확인하는 Plugin을 찾아다녔다.
그러는 중 mftparser를 봤고 사용했더니 FLAG가 나왔다..?

그래서 iehistory를 사용했는데 아무정보가 안나온다..? 뭔가 이상하다...

쨌든 FLAG 얻었고 다양한거 배울 수 있던 문제