[xcz.kr] 27번 XCZ Company Hacking Incident

문제

파일을 다운로드하면 prob27.7z 압축 파일을 할 수 있다.

 

압축을 풀면 하드디스크의 정보들이 들어있다.

 

FTK Imager을 이용해 열어보자.

 

내부에 기밀문서를 유출하는 방법은 가장 흔한 이메일로 보내는 방법이 있다.

 

그래서 웹브라우저를 통해 외부로 전송하는 증거를 찾기 위해 Explorer index.dat을 분석했지만 이메일의 흔적은 없었다.

 

계속 찾아보는 도중에 Outlook Express라는 폴더를 찾았다.

*Outlook Express - 마이크로소프트가 제작한 이메일 클라이언트 프로그램

Outbox.dbx 파일을 보면 파일 크기도 제일 크고 밖으로 보낸 기록을 담고 있는 파일 같다.

 

dbx viewer을 통해 열어 보았다.

 

confidential.doc 파일이 보이는데 파일을 열어보라고 한다.

 

confidential.doc 파일을 보니 최근 파일에 링크로 걸려있던 파일을 본 적 있다.

이제 파일을 복구해서 내용을 보게 되면

내용이 있는데 Prob27[150] 다음 빈 공간이 있다.

 

ctrl + c / ctrl v 하니 플레그가 보인다.

11.04  New Forensic Prob24[200]

11.04  New Trivia Prob25[250]

11.18  New Crypto Prob26[150]

11.19  New Forensic Prob27[150] auth key is Out10OkExpr3s5M4i1

 

플레그 값 : Out10OkExpr3s5M4i1