CTF-d Writeup ( GrrCON 2015 #1 )
문제 내용
vmss 파일을 던져준 뒤 직원의 이메일 주소로 이메일을 보낸 전자 메일 주소를 알아내라고 한다.
우선 Volatility를 제대로 사용하기 위해 운영체제 정보를 알아내자.
pstree를 이용하여 프로세스를 확인하였다. 메일 주소라 하였으니 Microsoft Office에서 지원하는 메일 프로세스인 OUTLOOK.EXE가 눈에 띄었다. 프로세스 덤프를 떠주자.
메일이라 하여 gmail.com을 문자열로 검색하였더니 바로 플래그로 보이는 값이 나와 인증하였더니 성공적으로 입력되었다.
CTF-d Writeup ( GrrCON 2015 #2 )
문제내용
공격자가 직원의 이메일로 첨부해 보낸 파일의 이름을 알아내라고 한다.
1에서 추출한 덤프파일 내용에서 gmail.com을 필터로 걸고 쭉 내리다 보면 위와 같이 이메일 내용이 나온다. 대충 내용을 보면 VPN을 업데이트 하라는 내용으로 메일을 보내었다. 그 후 URL을 첨부하였는데 이 URL에 접속시 설치될 파일명이 들어있었다.