CHIqueen
작년에 대회에서 풀지 못한 문제인데 갑자기 생각나서 찾아보려고 한다. 기억상으로 문제는 메모리에서 실행(Win+R)을 통해 실행한 것이 무엇인지를 찾는 문제 였다. 그때 이 문제를 잡고 몇 시간을 난리 쳤는데 풀지 못했던 문제 였다.(아무도 못품) 지금와서 생각하면 레지스트리키만 뽑아오면 끝나는 문제다. 실행창에서 실행한 명령어는 RunMRU라는 곳에 저장된다. HKCU\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 여기서 MRUList의 값이 ba라고 되어있는데 이는 실행 순서이다. 그니까 b가 제일 최근에 실행이 되었음을 알 수 있다. 우리는 이를 메모리에서 찾아 보려고 한다. HKCU는 NTUSER.dat파일을 보면 된다. 먼저 hivelist 플러그인으로 ..
We found out that one of the Otters been leaking information from our network! Find the leaked data. 패킷을 보다보면 SMB프로토콜을 많이 볼 수 있습니다 모두 저장을 해줍니다. 파일을 열어보면 전부 한글자씩 나눠 저장 되어 있습니다. 한번 다 출력 시켜 봅니다 LS0gLS0tLS0gLi0uIC4uLi4uIC4gLS0tIC0gLS0uLi4gLi4uLS0gLi0uIC4uIC0uIC0uLi4gLS4uLi4gLi4uLi0= base64 decode해줍니다 무스부호 같이 생겼네요 CTF{M0R5EOT73RINB64}
We recorded some of BirdMan's networking, but a part of it (the important part) got scrambled. 패킷을 보다보면 txtwizard.net에서 텍스트를 암호화한 패킷을 볼 수 있습니다. AES에 CBC모드로 PKCS5 패딩으로 암호화를 진행하였습니다. 우리는 key값 IV값 그리고 암호문을 얻으면 복호화를 할 수 있습니다. 그리고 Accept를 json으로 받았으니 json을 검색해 봅니다. 각각에 key, IV, ciphertext가 들어 있습니다. Key: XfCtxvD1yFZbxQ/+ULhAcA==, IV: sEhrZxQpnNnINixu3KQ1Tg==, cipherText: qKOtD3sK0WMMbAkIKach40aXJpNSz+..