ctf-d memory GrrCON 2015 #20

공격자가 rar 아카이브에 추가한 파일을 이름은 무엇인가? 라는 문제이다. 추가된 순서대로 나열하면 된다.

 

이번 문제는 접근하는 방법을 생각하기 어려워서 타 블로그에서 힌트를 얻어왔다.

 

cmdscan을 사용하면 rar로 나쁜짓을 한 CommandProcess는 conhost.exe 라는 파일인데 이 파일의 Pid가 3048이라는 정보가 나온다.

 

Pid를 알면 memdump를 사용하여 파일을 보도록 하자

덤프를 뜨고...

덤프파일을 txt 파일로 변환하여 보기로 했다.

 

File.txt1,2,3 의 형식이라고 하니 .txt를 필터로 찾아보기로 했다.

 

 

s

strings 를 사용하여 txt 파일로 바꿧는데  txt 파일이 나오지 않길래 그냥 dmp 파일 자체를 online hex editor에다가 넣어서 txt를 검색하여 찾아보았다.

 

그러니 adding (SecretSauce1.txt  SecretSauce2.txt SecretSauce3.txt) 가 정답인것으로 보인다. 

 

flag : SecretSauce1.txt,SecretSauce2.txt,SecretSauce3.txt