Defcon-2019 | Triage Vm

Defcon DFIR CTF 2019

Triage Vm

• File info :
• md5 / sha :

Defcon DFIR CTF 2019

몇몇 문제는 직접 부팅해서 확인하는 특이한..? 방식으로 풀이를 진행했고,

한번 풀다가 잠시 접어두고, 다시 풀고 그래서, 중간에 풀이 방식이 조금 바뀔 수 있습니다.

1. Who's That User?

 

User 이름을 물어보는 문제입니다.

 

그냥 부팅해서 풀었습니다 [...?]

다른 풀이 : autospy나 ftk 이용해서, SAM 레지스트리 뽑아서, 접근 가능.

Answer : flag<Bob>

2. Thee who logged in last

 

C:\Windows\system32\config 로 접근하여 레지스트리를 뽑아낸 다음,

SAM 레지스트리를 분석하면 됩니다. (REGA 사용)

UTC 기준이기 때문에, 시간대를 변경해준 다음, 인증했습니다.

Answer : flag<03/22/2019 20:50:51>

3.Down Time? More like Frwon Time

마지막으로 PC가 언제 꺼졌는지 물어보는 문제입니다.

SYSTEM\ControlSet~\Control\WindowsShutdownTime

Dcode를 통해, 시간으로 바꿔주면 플래그를 확인할 수 있습니다.

flag<03/22/2019 21:11:14>

4.No one's ever really gone... Palpatine Laugh

FTK imager를 이용해, 삭제된 파일 | 휴지통측에서 복구 한 다음,

압축을 해제한 다음, 내에 존재하는 gif 파일을 crc32로, hash를 돌린 값을 인증하였습니다.

flag<ad96120c>

5. Now, is no time at all

SYSTEM\CurrentControlSet\Control\TimeZoneInformation

을 통해, 타임존과 관련된 정보를 확인할 수 있으며, 해당 정보를 기반으로 UTC 시간대를 구할 수 있습니다.

Bias → 300

300/60 → 5

UTC - 5

flag<UTC-5>

TIME_ZONE_INFORMATION (timezoneapi.h) - Win32 apps

6. IT'S OVER 1000

 

레지스트리 중, SAM 레지스트리를 REGA를 통해, 분석하고, 사용자 계정 정보를 확인하면,

간단히 SID 정보를 확인할 수 있습니다.

7. Go Go Gadget Google Extension

크롬 확장 프로그램 설치된 것 중에서, ID를 찾아내는 문제입니다.

 

뭔가 의심스러운, 확장 프로그램이 존재합니다. 해당 nCage에 대한 Details 정보를 확인하면,

위처럼 스토어 측을 통해, ID 값을 확인할 수 있고,

위 부분이 플래그라는 것을 인증을 통해 알 수 있었습니다.

flag<hnbmfljfohghaepamnfokgggaejlmfol>

8. Run, Adobe, Run!

해당 부분의 경우, NTUSER.DAT (Bob)을 추출하여,

REGA를 통해 분석시, 응용프로그램 사용 로그를 통해, 실행 횟수를 확인할 수 있으며,

Adobe reader 실행횟수는 7인 것을 확인할 수 있습니다.

9. Should I use my invisibility to fight crime or for evil?

위처럼 파일 탐색기를 이용해서, 확인하는 방법이 있으며,

flag<howudoin.exe>

혹은.. FTK imager (파일 속성)

위처럼 Hidden 파일의 경우 DOS Attributes를 값을 통해, True라는 것을 확인할 수 있습니다.

10. It's all in the timing

Thu, 21 March 2019 17:12:05 UTC

EDT Time → 01:12

타임존 시간을 맞춰서, 적용한 다음, flag를 인증합니다.

flag<01:12>

11. The Hostess with the Mostest

위처럼 속성을 통해, 컴퓨터 이름을 확인하거나,

SYSTEM 레지스트리 내, ControlSet00x\Control\ComputerName 쪽으로 접근하게 되면,

컴퓨터 이름을 확인할 수 있습니다.

12.These messages aren't gonna message themselves!

Chrome 아티팩트 (history)

다운로드 측을 확인해본 결과, Skype를 받은 흔적이 존재하기 때문에

Skype가 플래그라는 것을 확인할 수 있습니다. (채팅 관련 +)

13.Dang it Bobby

Chrome History 측에서 urls를 통해, visit_count 값을 참고하면,

방문 횟수를 확인할 수 있습니다.

14.Dang it Bobby!

 

FTK를 이용해, 색인을 진행하다보면, Documnet 측에 특정 폴더가 존재하는 것을 확인할 수 있으며,

해당 파일을 추출해, 플래그를 확인할 수 있습니다.

flag<601-25-0735>

15.Get back to work Sponge Bob me boy

.....

ID 값 입력하고, 영상 제목을 flag로 제출하면 풀이가 되는 문제입니다.

flag<Rowan Atkinson Toby the Devil - Welcome to Hell>

16.Laughs in Hidden

autospy로 색인시, jpg 파일과 관련해서 숨겨진 파일이 있다는 것을 확인할 수 있으며,

 

해당 파일을 추출하여, crc32 해쉬를 돌린 다음, 플래그를 제출하면 됩니다.

076a3af5

17. Desktop Flag 1: Just the start of the fun

문제 파일 열고, strings으로 뽑아낸 다음, flag 필터링 걸고 찾으니까 금방 나온 문제입니다.

18. Desktop Flag 2: Electric Boogaloo

파일을 확인했을 경우, NETSCAPE2.0과 같이 GIF에서 볼 수 있는 특징이 확인되어,

파일 시그니처 (매직 넘버) 부분을 GIF로 바꿔주고, 확장자를 변경하여 열어보니

플래그를 확인할 수 있었습니다.

19. Desktop Flag 3: Need for Speed

파일을 hxd로 열게 될 경우, 내부에 URL이 존재한다는 것을 확인할 수 있습니다.

https://commons.wikimedia.org/wiki/File:DragonForce_-_Wacken_Open_Air_2016-AL8703.jpg

해당 URL로 접근하여, 이미지에 대해 확인해보면, DragonForce 와 관련된 이미지라는 것을 확인할 수 있는데, 이를 플래그로 인증하면 풀리는 문제입니다.

flag<DragonForce>

20. Desktop Flag 4: Want some more?

 

JPG 파일로 보이지만, 파일 시그니처 (매직 넘버) 헤더 및 푸터 쪽이 잘못되었기에, 이를 수정해주면

flag를 얻을 수 있습니다.

21. Now watch me youuuuuuuu

볼륨 이름을 물어보는 문제였습니다.

NTUSER.DAT | REGA

를 이용해, 분석한 다음 ,최근 실행 파일 측에서, ZOOM (U:)라는 기록을 통해

볼륨 이름이 ZOOM 이라는 것을 확인할 수 있습니다.

22. Desktop Flag 5: No, you can't have more time

5번 문제입니다. hxd를 통해 파일 구조를 확인한 다음, PDF 파일임을 확인하고,

PDF 확장자로 변경하면.. 확인되진 않으나, 드래그를 통해 확인하면..

플래그를 확인할 수 있습니다 (!)

23. I will look for you, I will find you... and I will hash you

md5 값을 확인하고, ftk imager로 뽑아낸 hash list에서 검색을 통해 확인 과정을 거쳐보면

DFA_CTF_Triage.vmdk\Partition 2 [30617MB]\NONAME [NTFS]\[root]\Users\Bob\AppData\Roaming\Microsoft\Windows\Recent\sleepy.png.lnk

위처럼 경로를 확인할 수 있습니다.

24.Easy Peasy Lemon Squeezy

 

슈뻐빠워게싱입니다. | 바탕화면에 적힌 글자가 플래그였습니다. (...)

flag<holla>

25. Can you like... not?

 

최근 실행파일 측을 확인하면서 pptx 파일 하나를 확인할 수 있었는데..

 

 

해당 파일을 추출하고... zip으로 바꿔준 다음, 압축해제를 하고, 하나씩 hxd로 까보면서 확인해본 결과

위처럼 flag를 확인할 수 있었습니다 :)

<flag=”welikeslidestoo”>

26. KA-CHOW

jerry was a racecar driver라는 파일이 존재했는데.. (Desktop 경로 내 존재)

binwalk 를 이용해서, 카빙을 진행해본 결과 그리 좋은 결과가 있진 않아서,

 

strings로 뽑아내고, grep "flag"를 통해 잡아내니, flag 파일을 확인할 수 있었습니다.

flag<nascar_murica>