728x90
문제 파일이 두 개가 있는데, xczprob2.7z.001 파일을 압축 풀어 나온 xczprob2 파일을 볼라틸리티 imageinfo 해주었다.
OS 버전이 WinXPSWinXPSP2x86인 것을 확인할 수 있었다.
이제 psscan으로 프로세스 정보도 한번 보자
작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다고 한다.
프로세스를 살펴본 걸론 모르겠어서 다른 명령어로 더 살펴보았다.
connections 명령어는 Windows XP, Windows 2003 Server만 사용 가능한 활성화 상태의 네트워크 연결 정보를 보여준다.
작업프로그램이 갑자기 꺼졌으면 지금 활성화 상태의 네트워크 연결 정보를 보면 범인인 프로세스가 나올 것이라 생각했다. psscan에서 해당 pid를 보니 nc.exe가 범인이었다.
키 형식에 맞춰서 flag를 확인해보면
nc.exe_1124_80_Fri-Nov-02-09:06:48-2012
성공!
728x90
'Forensics > Wargame' 카테고리의 다른 글
| [ctf-d] 내 친구는 이것이 특별한... (0) | 2022.02.13 |
|---|---|
| [ctf-d] 이 편리한 안드로이드... (0) | 2021.07.26 |
| [ctf-d] GrrCON 2015 #2 (0) | 2021.05.04 |
| [ctf-d] GrrCON 2015 #1 (0) | 2021.05.04 |
| [ctf-d] 조개를 찾아 열고, 진주를 찾으십시오. (0) | 2021.05.04 |
댓글