[xcz.kr] 24번 Memoryyyyy Dumpppppp

문제

문제를 보면 메모리 덤프를 만들었다고 한다. 일단 파일을 두 개 다운로드하여보자.

 

파일을 다운로드하고 첫 번째 파일은 압축을 풀 수 있다.

 

메모리 덤프 문제는 nc.exe_1124_80_Fri-Nov-02-09:06:48-2012를 이용해 문제를 풀 것이다.

 

첫번째 파일의 압축을 풀면 xczprob2 파일을 얻을 수 있다.

winxp를 사용하는 것을 알 수 있다.

프로세스 확인했을 때 nc.exe(netcat) 프로세스가 바로 보인다.

*netcat (혹은 nc)은 TCP 또는 UDP를 사용하여 네트워크 연결을 읽고 쓰는 데 사용되는 컴퓨터 네트워킹 유틸리티이다.

 

이제 외부에서 접속이 있었는지 확인을 해봐야 한다.

확인 결과 :  내부 172.30.1.6  80 포트 / 외부 1.226.182.38  59495 포트 / PID 값 1124

PID 값이 1124인걸 봐서는 nc.exe를 사용했다는 것을 알 수 있다.

 

이로써 플레그를 얻을 수 있었다.

 

키 형식 : 프로세스 이름_PID값_내부 포트_시간

 

플레그 값 : nc.exe_1124_80_Fri-Nov-02-09:06:48-2012

 

문제를 푸는데 확실히 nc.exe를 사용해서 삭제했다는 증거를 찾지는 못하고 예상으로 이것을 했을 거다 하고 풀었다.

증거를 찾으려고 했는데 nc.exe 프로세스 실행된 이후 명령어가 메모리 뜨는 거밖에 없었다...(문제가 잘못된 걸까... 아니면 내가 못 찾은 걸까...)