Notice
Recent Posts
Recent Comments
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Tags
more
Archives
Today
Total
관리 메뉴

CHIqueen

UMDCTF Jarred-1 본문

포렌식/CTF

UMDCTF Jarred-1

CHIqueen 2020. 4. 22. 19:08

lUbuntu 메모리 포렌식 문제다.

문제 파일로는 메모리, System.map, dwarf가 주어지는데 시스템맵이랑 드워프를 사용해 프로파일을 만들어야 한다.

최근에 Volatility 3버전 베타가 나왔길래 써볼라 했더니 뭔지도 모르겠고 wiki에서는 symbol머시기 머 이렇게 저렇게 하라는데 모르겠고 그냥 시간 버리다가 그냥 2.6.1로 하기로 했다.

 

https://github.com/volatilityfoundation/volatility/wiki/Linux

 

volatilityfoundation/volatility

An advanced memory forensics framework. Contribute to volatilityfoundation/volatility development by creating an account on GitHub.

github.com

위 링크대로 zip으로 압축한다음에 volatility/plugins/overlays/linux/에 넣어주면된다.(이름 상관 x)

 

그러고 vol.py --info 했을때 ~lubuntux64~ 나오면 성공

# python vol.py --info | grep lubuntu
Volatility Foundation Volatility Framework 2.6.1
Linuxlubuntux64       - A Profile for Linux lubuntu x64
# python vol.py -f lubuntu-Snapshot2.vmem --profile=Linuxlubuntux64 linux_bash
Volatility Foundation Volatility Framework 2.6.1
Pid      Name                 Command Time                   Command
-------- -------------------- ------------------------------ -------
    1825 bash                 2019-11-13 03:59:04 UTC+0000   how do I linux?
    1825 bash                 2019-11-13 03:59:21 UTC+0000   UMDCTF-{falskdfklashdkjfhaskljfhakljsdhflkjasdhflkashdk}
    1825 bash                 2019-11-13 04:00:22 UTC+0000   echo -n "VU1EQ1RGLXtKYXJyZWRfU2gwdWxEX0hhVjNfTDBjazNkX0gxc19DT21wdTdlcn0=" | base64 -d | sha256sum
    1825 bash                 2019-11-13 04:01:32 UTC+0000   UMDCTF-{STRINgz_W0n't_Get_Th3_FLVG}

막 사이에 flag같아 보이지만 fake고 가운데가 진짜다.

 

# echo VU1EQ1RGLXtKYXJyZWRfU2gwdWxEX0hhVjNfTDBjazNkX0gxc19DT21wdTdlcn0= | base64 -d
UMDCTF-{Jarred_Sh0ulD_HaV3_L0ck3d_H1s_COmpu7er}

'포렌식 > CTF' 카테고리의 다른 글

UMDCTF Zero Cool  (0) 2020.04.23
UMDCTF Jarred-3  (0) 2020.04.22
UMDCTF SomeZips  (0) 2020.04.22
UMDCTF A Nation State Musical  (0) 2020.04.22
UMDCTF Sensitive  (0) 2020.04.22
Comments