문제를 보겠습니다.
문제를 보시면, nbtscan.exe 프로세스를 통해서, nbt.txt라는 텍스트 파일로 저장을 했다는 것을 알 수 있었다
그럼 명령어가 ./nbtscan.exe > nbt.txt 이렇게 되어있는 것 같은데, 찾아보니까 파일이 존재하지 않았습니다.
그래서 출제자가 문제를 낼 때, 에러를 범했을 것이라고 생각이 들어 txt파일만 다 찾아봤습니다.
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr ".txt"
하니까 많은 txt파일이 출력이 되는데, 그 중 비슷하게 생긴 nbs.txt가 눈에 들어왔습니다.
그래서 dumpfiles 명령어를 가지고, 해당 파일을 덤프를 떠보겠습니다.
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fdb7808 -D ./
덤프를 떠보니 파일이 하나 생성되어, strings 플러그인으로 사람이 알아볼 수 있는 문자열 형태로 변경을 시켜줍니다.
strings.exe file.None.0x83eda598.dat > nbs.txt
단, 파일의 이름은 다를 수 있음!!
그래서 nbs.txt파일을 열어보니 IP주소를 찾을 수 있었습니다.
FLAG : 10.1.1.2
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #15 (0) | 2022.07.09 |
|---|---|
| [Memory] GrrCon 2015 #14 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #12 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #11 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #10 (0) | 2022.07.09 |