문제를 보겠습니다.
문제를 보면, 시스템에 원격으로 접근하는 방법은 여러가지가 있는데, 그 중 공격자가 원격 접근 방식을 사용했다. 연결한 IP 주소는 무엇인가??
결국엔, 클라이언트 원격 관리 서비스의 이름을 가진 프로그램을 찾아야 하는데, 일단 팀뷰어를 가지고 원격을 접속하고, 또 프로그램을 실행한 것으로 보아 netscan 플러그인을 사용하겠습니다.
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan
다양한 네트워크 흔적들을 보았을 때, 팀뷰어를 실행하고 난 후 프로세스들을 보면 outlook, mstsc 등등 있는데, mstsc는 마이크로소프트에서 구성하는 터미널 클라이언트 원격 관리 서비스입니다. 그래서 해당 mstsc가 연결된 IP주소를 보시면 되겠습니다.
FLAG :10.1.1.21
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #15 (0) | 2022.07.09 |
|---|---|
| [Memory] GrrCon 2015 #14 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 # 13 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #12 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #11 (0) | 2022.07.09 |