18번 문제는 공격자가 암호를 사용했는지 알아내는 문제이다.
문제에서 '압축'이라는 용어가 언급이 되었는데, 사실 이전에 17번 문제에서 cmdscan 명령어 실행 결과를 다루면서 밑부분에서 rar을 실행한 흔적을 볼 수 있었다. 그러므로 이번 문제도 마찬가지로 cmdscan을 이용할 것인데, 결과 중 빨간색으로 표시된 부분이 압축 관련 명령을 실행한 부분이기에 이를 살펴볼 것이다.
위 두 줄의 명령문은 연속으로 실행되는 명령이 아니다. '#16번 명령'이 명령어 형식에 안 맞음 등의 이유로 '#17번 명령'에서 명령문을 조정해 다시 실행한 것으로 보인다. 또한 명령어 실행 인자들을 살펴보면, 문제에서 언급된 비밀번호 format과 '-hp123!@#qwe' 문자열이 어느정도 들어맞는듯한데 해당 부분이 뭔가 옵션인 것 같은 느낌이 들기도 해서 미심쩍었으나 역시나 '-hp123!@#qwe'를 그대로 정답으로 제출하였을 때는 정답이 아니었다.
rar Man Page - Linux - SS64.com
rar Archive files with compression. Syntax rar command [-switch_1 -switch_N] archive [files...] A summary of commands is below. Every command/switch must be separated by whitespace. Commands: a Add files to archive. c Add archive comment. Comment length is
ss64.com
이에 대한 의문을 풀기 위해 검색을 하여 설명이 잘 되어있는 페이지를 하나 찾았는데, 이를 참고하면 좋을 것 같다.
문제에서 '모든 파일들을 암호화하여 압축'한다고 하였으므로, #17은 -hp가 옵션으로 쓰인 명령이라는 것을 유추할 수 있다. 또한 -hp가 옵션이고, 나머지 뒷부분에 해당하는 문자열은 비밀번호인 것을 알 수 있다.
따라서 뒷부분의 문자열을 flag로 제출하면 정답이다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #20(20) (0) | 2021.12.26 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #19(19) (0) | 2021.12.23 |
| [DigitalForensic with CTF] GrrCON 2015 #17(17) (0) | 2021.12.15 |
| [DigitalForensic with CTF] GrrCON 2015 #16(16) (0) | 2021.12.14 |
| [DigitalForensic with CTF] GrrCON 2015 #15(15) (0) | 2021.12.14 |
