geunyeong's blog

프로세스 목록을 보면 Rick And Morty라는 문자열이 보인다. 검색해보니 미국 성인 애니메이션 시리즈다. 로 만든 게임도 있는 듯 한데 이 게임 프로세스에 vmware-tray.exe가 있는 것이 수상하다. 프로세스를 실행할 수 있는 exe 프로그램으로 추출한다. file 명령으로 확인하자 .Net assembly 파일로 나온다. virustotal에 올리자 악성 프로그램이라는 결과가 나왔다. CTF{vmware-tray.exe}

clipboard 플러그인을 사용해 클립보드 내용을 보면 된다. CTF{M@il_Pr0vid0rs}

yarascan을 이용하면 hex 값으로도 검색이 가능하다. {01 02 03} : "\x01\x02\x03" {01 02 0?} : "\x01\x02\x01" ~ "\x01\x02\x0F" {01 02 [2]} : "\x01\x02\x00\x00" ~ "\x01\x02\xFF\xFF" {01 02 [1-2]} : "\x01\x02\x00" ~ "\x01\x02\xFF\xFF" 문제에서 알려준 조건에 맞게 yara 규칙을 작성한 후 서치하면 된다. yara rules : {64 [6-8] 40 06 [18] 5a 0c 00 00} or {40 06 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 5a 0c 00 00} CTF{M0rtyL0L}

yarascan을 이용해 Lunar-3이라는 문자열을 검색하면 보인다. CTF{0tt3r8r33z3}

pstree 플러그인으로 프로세스 목록을 보던 중 LunarMS.exe라는 처음 보는 프로세스가 있어 검색해봤다. 메이플스토리와 비슷한 그래픽을 가진 사이트가 나온다. 할로윈 이벤트나 다운로드/인스톨 가이드 글 등 게임 사이트로 생각된다. LunarMS.exe의 네트워크 연결 정보를 보기 위해 netscan 플러그인을 사용하고 LunarMS.exe의 PID인 708로 필터링했다. Game Name: CTF{LunarMS} Server IP: CTF{77.102.199.102|

Windows 시스템은 컴퓨터 이름을 아래 레지스트리에 저장하고 있다. Key: HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName Data: ComputerName Value: volatility의 hivelist 플러그인을 사용해 SYSTEM 하이브 파일이 위치해있는 주소를 알아낸다. printkey를 이용해 SYSTEM\CurrentContolSet 서브키를 들여다보면 ContorlSet001을 심볼릭링크로 가지고 있는 걸 볼 수 있다. CurrentControlSet의 실체는 ControlSetXXX를 가리키는 녀석이다. CurrentControlSet이 아닌 ControlSet001로 가면 컴퓨터 이름을 알 수 있다. 컴퓨터가 사용하..

SAM 하이브파일에 들어있는 사용자 정보에서 NT 해시를 크랙하는 문제인 줄 알았다. NT 해시를 추출한 후 다양한 NT 해시 크랙 사이트에서 돌려봤으나 실패했다. volatility의 lsadump 플러그인을 쓰니까 바로 나오더라. DefaultPassword란 Windows 부팅 후 자동으로 로그인되는 사용자 계정의 패스워드를 의미한다. CTF{MortyIsReallyAnOtter}

# Shellbags 레지스트리를 설명하는 글들은 너무나도 많다. 하지만 레지스트리가 언제 생성되고 갱신되는지를 설명하는 글은 없는 듯하여 조사해봤다. 맨 밑에 요약 정리가 있다. 귀찮으면 스크롤바 쭉 내리면 된다. #환경 Windows 10 Pro x64 1909 버전을 가상머신에 설치해 분석했다. #탐색기 - 폴더 열람 후 정상종료 가장먼저 explorer.exe를 사용하여 폴더를 탐색하는 경우를 조사했다. 초기 Shellbags 레지스트리 모습이다. 설치 직후인데 BagMRU 키 밑에 0, 1, 1/0, 총 3개 키가 처음부터 존재했다. 탐색기 주소창을 이용해 %UserProfile%(사용자 홈폴더) 경로에 직접 접근한 후 레지스트리를 확인해봤다. 아무런 변화가 없다. 탐색기를 정상 종료한 후 레지..

from pwn import * # # process( PROGRAM_PATH ) # p = process('./program.exe') p.send('hello world') # input 'hello world' through stdin p.sendafter('world', 'hello world') # input 'hello world' when receive 'world' string p.sendline('hello world') # input 'hello world\n' through stdin p.sendlineafter('world', 'hello world') # input 'hello world\n' when receive 'world' string p.recv(1234) #read 12..

# source code // unlink@pwnable:~$ cat unlink.c #include #include #include typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; char buf[8]; }OBJ; void shell(){ system("/bin/sh"); } void unlink(OBJ* P){ OBJ* BK; OBJ* FD; BK=P->bk; FD=P->fd; FD->bk=BK; BK->fd=FD; } int main(int argc, char* argv[]){ malloc(1024); OBJ* A = (OBJ*)malloc(sizeof(OBJ)); OBJ* B = (OBJ*)malloc(sizeof(OBJ)); OBJ* ..