CHIqueen

InCTF 2018 Evilcrypter write-up 본문

포렌식/CTF

InCTF 2018 Evilcrypter write-up

CHIqueen 2018. 10. 14. 13:47

======= Difficulty level : Easy ========


A harmful ransomware script encrypted my precious text and hid it somewhere. I was going through some old photos when this incident happened. Luckily I was able to dump the memory as soon as I noticed something suspicious. Can you retrieve my data?


Chall Link : https://goo.gl/uKLdkf


========== Authors : stuxn3t, cr4ck3t ==========


메모리 덤프파일이 주워 집니다.

우선 이미지 파일의 정보를 뽑아 봅시다.


Win7SP1x86_23418로 진행합니다.


프로레스를 탐색해 봅니다.



notepad.exe, conhost.exe가 눈에 띄이네요

cmdline을 동작시켜 봅니다.



evilscript.py와 vip.txt가 있네요 evilscript는 문제에서 말한 악성 스크립트인거같고 vip.txt를 복호화 해야될거 같습니다.

filescan을 통해 파일 목록을 확인해 봅니다.



갑자기 suspision1.jpeg가 보입니다. 이름도 수상하니 다른거랑 같이 추출해 줍니다.



추출해 줍니다.



base64로 인코딩된 텍스트와 그걸 xor하는 스크립트 입니다.



이렇게 스크립트를 짜주고 돌리면



??????

젠장



아까 추출한 사진인데 지금 저의 모습과 똑같네요



스테가노그래피라 생각하고 steghide로 추출해 줍니다.




두번째 플래그가 나옵니다.


inctf{0n3_h4lf_1s_n0t_3n0ugh}


'포렌식 > CTF' 카테고리의 다른 글

Swamp CTF 2018 Wild Night Out write-up  (0) 2018.10.16
InCTF 2018 Mag1cal Radio write-up  (0) 2018.10.16
InCTF 2018 Evilcrypter write-up  (0) 2018.10.14
InCTF 2018 Biz44re write-up  (0) 2018.10.12
InCTF 2018 Winter Sport write-up  (0) 2018.10.12
NSEC 2018 Communication from earth write-up  (0) 2018.10.12
0 Comments
댓글쓰기 폼