[SuNiNaTaS] Game 30 풀이 (Memory Forensic)

문제

※ 파일 이름이 이상해서 커맨드 오류가 일어나 이름을 변경하여 분석하였다.

풀이

기본 정보

김장군 PC의 IP주소를 알기 위해 netscan 명령어를 사용하였다. (네트워크 관련 명령어는 운영체제 종류 및 버전을 지정해 줘야 제대로 작동한다)

IP 주소 = 192.168.197.138

 

다음으로 해커가 열람한 기밀 문서의 파일명을 알아야 한다. 파일에 접근하기 위해 명령어를 사용하지 않았을까 하고 cmdscan 명령어를 사용해 보았다.

 

* cmdscan, consoles: cmd와 콘솔에 입력한 값을 출력해 준다. (consoles의 경우 입/출력을 모두 출력)

* cmdline: cmd에서 실행된 명령어와 그 인자 정보를 절대 경로로 출력해준다.

해커가 notepad 명령어를 통해 SecreetDocumen7.txt라는 파일을 열람하였다는 것을 알 수 있었다.

이 파일을 읽어보기 위해 파일을 덤프해와야 한다. 그러려면 파일의 절대 경로를 알아야 한다.

filescan과 findstr 명령어를 연결해 SecreetDocumen7.txt의 절대 경로를 찾았다. 이 절대 경로를 이용해 dumpfiles 명령어로 해당 파일을 덤프해왔다.

 

* -Q 덤프해올 파일의 절대경로, -D 덤프한 파일을 저장할 경로

파일을 열어보니 마지막 플래그가 있었다!

 

 

 

 

🚩Flag: lowercase(MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)) = c152e3fb5a6882563231b00f21a8ed5f