[ CTF-d ] GrrCON 2015 #2

CTF/CTF-d

[ CTF-d ] GrrCON 2015 #2

pental 2020. 1. 12. 20:12

https://blog.system32.kr/72

[ CTF-d ] GrrCON 2015 #1

프로세스 중에서 OUTLOOK.EXE 프로세스를 덤프한다. 메모리 덤프가 가능한데 Memory Dump 파일에서 이메일을 추출하면된다. grep 기능을 통해서 @naver.com / @daum.net / @hanmail.net / @gmail.com 을 검색한..

blog.system32.kr

이 글과 마찬가지이다.

grep 기능을 통해서 exe를 추출보자.

추출 결과 이메일에서는

Hello Mr. Wellick,

In order to provide the best service, in the most secure manner, AllSafe has recently updated our remote VPN software. Please download the update from the link below.

AnyConnectInstaller.exe">http://180.76.254.120/AnyConnectInstaller.exe

If you have any questions please don't hesitate to contact IT support.

Thanks and have a great day!

AllSafe IT Support Desk

이런 메세지를 보냈다.

Flag : AnyConnectInstaller.exe

저작자표시