헐... ? 누군가가 장난을 쳐두었어 ! 3가지를 찾아줘 ! 플래그 포맷
HCAMP{삭제 된 유저_메모프로그램에 저장된 숫자_부팅 시 조작 된 프로세스명}
[+] 삭제 된 유저는 로그에서 찾을 수 있습니다.
[+] 메모 프로그램은 sticky note입니다.
[+] 부팅 시 로드 되는 화면은 레지스트리에서 관리합니다.
TEAM : 속4Four
대회때 느린 다운로드 속도 + 제한된 데이터량 때문에 이미지파일을 못 받았다가
다음날 와이파이로 접속해서 다운받아 풀었다.
vmware로 열려다가 부팅이 안되길레 그냥 FTK Imager로 열어서 풀었다.
삭제 된 유저는 로그에서 찾을 수 있다. -> 이벤트 로그
유저 관련 이벤트 로그는 Security.evtx다. 해당 로그파일을 추출해서 이벤트 뷰어로 보면되는데, 삭제로그 이벤트 ID는 4726이다. id로 정렬하면 id가 4726인 로그를 하나 찾을 수 있다.
로그 내용에서 '계정 이름: Bn312'을 찾을 수 있다.
메모프로그램 (sticky note)에 저장된 숫자 -> sticky note 세이브 파일을 찾으면 된다.
세이브 파일 경로를 검색했을 때
C:\Users\계정명\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\localstate
로 찾을 수 있었는데, 해당 경로가 존재하지 않아서, 다른 경로를 찾아 보았다.
스티키노트 구버전 파일 읽기(.snt)
C:\Users\계정이름\AppData\Roaming\Microsoft\Sticky Notes 안에 위치한 이 파일만 백업한 후 윈도우 업그레이드를 시작했는데.. 새 버전의 윈도우10에서는 아무리 찾아도 넣어야 할 폴더가 보이지 않는다. 업무..
tirtir.tistory.com
위 블로그 글을 참고했다. 이미지 파일에서 snt파일을 추출해서 내 컴퓨터에 덮어쓴 후에, sticky note를 실행해주면
저장된 메모가 나온다. 여기서 '저장된 숫자' = 589319235를 구할 수 있다.
부팅 시 조작 된 프로세스명은 레지스트리에서 찾을 수 있다고 한다.
역시 검색을 해보았다.
[윈도우] 윈도우 구동시 자동시작프로그램 로드순서
[윈도우] 윈도우 구동시 자동시작프로그램 로드순서 얼렁뚱땅 2006.12.01 09:31 윈도우를 구동할시에는 윈도우가 자동적으로 로드를 하여 구동을 시키는 프로그램들이 있는데, 이를 (자동)시작프로그램 이라고 합..
ploiu.tistory.com
여기에서 관련된 레지스트리를 찾았다.
SOFTWARE 레지스트리 파일을 추출해서 분석하면 되는데,
SOFTWARE > Microsoft > Windows > Run 에 shell이라는 이름으로 h33cxkqi1531 라는 값이 들어있었다.
해서 flag는 HCAMP{Bn312_589319235_h33cxkqi1531}가 된다.
'CTF Write Up' 카테고리의 다른 글
| Timisoara CTF 2019 Quals Write-up (0) | 2019.09.19 |
|---|---|
| 20회 Hackingcamp CTF MISC [GuessWhat] 풀이 (0) | 2019.08.26 |
| YISF 2019 본선 풀이 (0) | 2019.08.19 |
| 제17회 YISF 2019 예선 write-up (0) | 2019.08.14 |
| CODEGATE 코드게이트 2019 뉴비 해킹대회 OPEN CTF & 부스 문제풀이 Write up 롸업 (0) | 2019.03.28 |