11번 문제의 경우, 평문 암호를 구해야하는 문제같다.
10번 문제에서 3가지 도구(프로그램)에 대한 정보를 검색으로 간략하게 알 수 있었다. Rar.exe의 경우 압축 관련 프로그램, nbtscan.exe의 경우 NetBIOS 관련 프로그램이라고 나와있었는데, 이를 볼 때 뭔가 이번 문제에서 요구하는 방향성과 맞지 않다고 생각이 들었다. 반면에 wce.exe의 경우 'logon session', 'credentials' 등의 단어가 언급되는 것을 보아 이번 문제의 방향성과 맞는 것 같다는 느낌이 들었다.
해킹을 하는데 사용된 iexplore 프로세스의 덤프를 다시 살펴보자.
2996.txt 파일을 호스트 pc에서 notepad++로 열은 뒤 'wce'를 검색해보았다.
검색 결과가 여러 개 나오는데, 결과 중 이 부분에서 문제에서 언급된 '프런트 데스크' 관리자 계정 부분에 key format과 일치하는 듯한 문자열이 하나 보였다.
이를 flag로 제출하니 정답이었다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #13(13) (0) | 2021.12.14 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #12(12) (0) | 2021.12.13 |
| [DigitalForensic with CTF] GrrCON 2015 #10(10) (0) | 2021.12.09 |
| [DigitalForensic with CTF] GrrCON 2015 #9(9) (0) | 2021.12.09 |
| [DigitalForensic with CTF] GrrCON 2015 #7(7) (0) | 2021.12.07 |
