컴알못의 짱해커가 되기 위한 여행

우선, 첨부파일을 받고 압축을 푼 뒤에 폴더안에 들어가면 한글파일이 있습니다. 한글파일을 열어보면, 이렇게 창이 뜨는 것을 확인할 수 있습니다. 아무래도 스크립트라는 메시지를 보다보니, EPS 를 활용한 한글파일 악성코드가 생각났고, 바로 HWPSCAN을 돌려보았습니다. 파워셸 스크립트를 통해서 뭔가를 실행하는 듯한 모습입니다. 이 문자열을 base 64 처럼 보였기 때문에 바로 디코딩을 시도하였습니다. 구글 드라이브 링크를 확인할 수 있었고, 이 곳으로 들어갔습니다. trojan.txt를 다시한번 base64 디코딩해보았습니다. Hex Value들이 들어가있는 것을 보실 수 있습니다. 이것을 HxD에서 그대로 넣어보았습니다. PNG 파일입니다. 이렇게 플래그를 획득하였습니다.

우선, USB 제조사랑 USB 제품 명을 알아보면 되는 문제입니다! 문제에서는 레지스트리랑 이벤트 로그를 주셨네요! 바로 REGA를 통해 열어보았습니다! REGA의 하드웨어 정보 도구 상자에서 저장 장치와 관련한 아티팩트들을 수집할 수 있었습니다. 이렇게 플래그를 획득할 수 있었습니다!

문제파일을 받으면 dll파일이 주어집니다. 일단 DIE에 올려보겠습니다... 음.. 네 DLL32입니다. 바로 IDA에 올려볼까요? 일단 Strings를 쭉 뽑아보니,, aimbot, m4a4, ump45 등 총기명이 보이는 것으로보아... 이 DLL은 에임핵인가보네요!!! Strings를 조금 더 살펴보겠습니다. 글옵 에임핵인가 봅니다 ㄷㄷㄷㄷㄷ 정말 무섭네요. 그런데 저기에 수상한 문자열이 있네요? did you find flag? 와 cG93Zx ... == 으로 끝나는 문자열이 있었습니다. 역시 base64로 보이는 문자열을 디코딩해주어야 제맛이겠죠? 바로 디코딩 들어가겠습니다. 뭔가를 실행하고 있습니다! powershell로 직접 테스트해볼까요? 플래그 획득 성공하였습니다!

처음 문제파일을 다운받으면 위와 같은 이미지 파일을 줍니다. 평범한 이미지파일같아보이지만... 이 png.. HxD에서는 어떨까요..? PASS:1234 라니.. 이거 완전 OpenStego를 활용해서 암호 걸어놓은 스테가노그래피아니야? 하는 생각이 들었습니다. 바로 이 아이디어가 떠오른 이유는 저번에 영재원 내부 CTF때 비슷한 문제가 있었는데, 이거 못봐서 힌트쓰다가 100점 날려먹은 기억때문에 그렇습니다. Password에는 1234를 바로 입력한 뒤에 해주면 될 듯하여 바로 해줬습니다! 그러자.. medium.png 라는 파일이 나옵니다. 여기서 추측한 점은 애초부터 마트료시카가 원래 이미지 파일이었으니, 아무래도 계속 OpenStego로 풀지 않을까.. 라는 생각을 했습니다. 그렇게 아래와 같이..

처음 파일을 다운받으면 FINDAJOB.zip이라는 압축파일을 다운받을 수 있습니다. 다만 압축이 제대로 풀리지 않아 의아하여 HxD로 파일을 열었습니다. 왼쪽과 같이 압축파일의 헤더가 PK가 아닌 PP로 되어있는 것을 알 수 있었습니다. 그렇기에 바로 PK로 헤더를 바꾼 뒤에 압축을 풀어 보았습니다. 왼쪽과 같이 FINDAJOB.txt가 있었고, 그 내용은 아래와 같았습니다. 흔한 빌딩이 그려져있는 아스키 아트 같지만... 잘 보십시오!! 알파벳과 {, } 특수문자... 이느낌은 F l a g 입니다 바로 정규식을 돌려보도록 하죠. 이렇게 플래그를 획득하였습니다~!