[TryHackMe] Advent of Cyber 2, Day 21 - Walkthrough -
"Advent of Cyber 2"는 "free room"(무료)에서 제공됩니다. 구독 없이 가상 머신을 "배포(Deploy)"할 수 있습니다.
「Advent of Cyber 2」의 Walkthrough 인덱스를 「 [TryHackMe] Advent of Cyber 2에 참여해 보았습니다. 」에서 공개했습니다.
[Day 21] Blue Teaming: Time for some ELForensics
스토리
"little helpers"중 한 명이 워크 스테이션에 로그인하면 데이터베이스의 커넥터 파일이 교체되었음을 알게되어 장난 목록을 찾을 수 없습니다. 또한 데이터베이스 커넥터 파일을 실행할 때 파일이 다른 위치로 이동되었다는 메시지가 표시되었습니다.
엘프 McEager는 알림을 받고 데이터베이스 커넥터 파일을 찾기 위해 조각을 결합합니다.
작업
법의학과 같은 조사 기술을 사용하여 데이터베이스의 커넥터 파일이 숨겨진 위치를 찾습니다.
Day 21 - #1.
Read the contents of the text file within the Documents folder. What is the file hash for db.exe?
CMD
, PowerShell
의 각각에서 조사해 보겠습니다.
명령 프롬프트에서 텍스트 파일과 같은 내용을 화면에 표시하려면 TYPE
명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>type "db file hash.txt"
Filename: db.exe
MD5 Hash: 5966{BLOCKED}E3A1
PowerShell에서는 Get-Content
cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Content -Path '.\db file hash.txt'
Filename: db.exe
MD5 Hash: 5966{BLOCKED}E3A1
Day 21 - #2.
What is the file hash of the mysterious executable within the Documents folder?
명령 프롬프트에서 파일의 해시 값을 계산하려면 CertUtil
명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>CertUtil -hashfile deebee.exe md5
MD5 hash of deebee.exe:
5f03{BLOCKED}09f0
CertUtil: -hashfile command completed successfully.
PowerShell에서는 Get-FileHash
cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-FileHash -Algorithm MD5 .\deebee.exe
Algorithm Hash Path
--------- ---- ----
MD5 5F03{BLOCKED}09F0 C:\Users\littlehelper\Documen...
Day 21 - #3.
Using Strings find the hidden flag within the executable?
Windows Sysinternals의 "Strings.exe"유틸리티를 사용하여 바이너리에 포함된 문자열을 검사할 수 있습니다.
또한 findstr
명령과 결합하면 정규식을 사용하여 유연한 문자열 검색을 수행할 수 있습니다.
c:\Tools>strings64.exe C:\Users\littlehelper\Documents\deebee.exe | findstr THM*
THM{f618{BLOCKED}b6f9}
PowerShell에서는 Select-String
cmdlet 및 -Pattern
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Select-String -Path .\deebee.exe -Pattern 'THM*'
의도한 문자열만 추출하려면 -Pattern
옵션을 지정하는 방법에 궁리가 필요합니다.
Day 21 - #4.
What is the flag that is displayed when you run the database connector file?
NTFS 파일 시스템에는 "대체 데이터 스트림(ADS: Alternate Data Stream)"이라는 기능이 있습니다.
명령 프롬프트에서 대체 데이터 스트림에 대한 정보를 표시하려면 dir
명령의 /r
옵션을 사용할 수 있습니다.
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Users\littlehelper\Documents>dir /r
Volume in drive C has no label.
Volume Serial Number is C2ED-B403
Directory of C:\Users\littlehelper\Documents
11/23/2020 04:12 PM <DIR> .
11/23/2020 04:12 PM <DIR> ..
11/23/2020 11:21 AM 63 db file hash.txt
11/23/2020 11:22 AM 5,632 deebee.exe
6,144 deebee.exe:hidedb:$DATA
2 File(s) 5,695 bytes
2 Dir(s) 4,928,839,680 bytes free
PowerShell에서는 Get-Item
cmdlet 및 -Stream
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Item .\deebee.exe -Stream *
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe::$DATA
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe::$DATA
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : :$DATA
Length : 5632
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe:hidedb
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe:hidedb
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : hidedb
Length : 6144
대체 데이터 스트림에 추가된 실행 파일을 시작하려면 wmic.exe
(Windows Management Instrumentation Command Line) 명령줄 도구를 사용할 수 있습니다.
명령 구문은 다음과 같습니다.
PS C:\Users\littlehelper\Documents> wmic process call create $(Resolve-Path .\deebee.exe:hidedb)
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4804;
ReturnValue = 0;
};
이것으로, 21일째의 미션이 종료입니다.
참고 정보
"little helpers"중 한 명이 워크 스테이션에 로그인하면 데이터베이스의 커넥터 파일이 교체되었음을 알게되어 장난 목록을 찾을 수 없습니다. 또한 데이터베이스 커넥터 파일을 실행할 때 파일이 다른 위치로 이동되었다는 메시지가 표시되었습니다.
엘프 McEager는 알림을 받고 데이터베이스 커넥터 파일을 찾기 위해 조각을 결합합니다.
작업
법의학과 같은 조사 기술을 사용하여 데이터베이스의 커넥터 파일이 숨겨진 위치를 찾습니다.
Day 21 - #1.
Read the contents of the text file within the Documents folder. What is the file hash for db.exe?
CMD
, PowerShell
의 각각에서 조사해 보겠습니다.
명령 프롬프트에서 텍스트 파일과 같은 내용을 화면에 표시하려면 TYPE
명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>type "db file hash.txt"
Filename: db.exe
MD5 Hash: 5966{BLOCKED}E3A1
PowerShell에서는 Get-Content
cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Content -Path '.\db file hash.txt'
Filename: db.exe
MD5 Hash: 5966{BLOCKED}E3A1
Day 21 - #2.
What is the file hash of the mysterious executable within the Documents folder?
명령 프롬프트에서 파일의 해시 값을 계산하려면 CertUtil
명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>CertUtil -hashfile deebee.exe md5
MD5 hash of deebee.exe:
5f03{BLOCKED}09f0
CertUtil: -hashfile command completed successfully.
PowerShell에서는 Get-FileHash
cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-FileHash -Algorithm MD5 .\deebee.exe
Algorithm Hash Path
--------- ---- ----
MD5 5F03{BLOCKED}09F0 C:\Users\littlehelper\Documen...
Day 21 - #3.
Using Strings find the hidden flag within the executable?
Windows Sysinternals의 "Strings.exe"유틸리티를 사용하여 바이너리에 포함된 문자열을 검사할 수 있습니다.
또한 findstr
명령과 결합하면 정규식을 사용하여 유연한 문자열 검색을 수행할 수 있습니다.
c:\Tools>strings64.exe C:\Users\littlehelper\Documents\deebee.exe | findstr THM*
THM{f618{BLOCKED}b6f9}
PowerShell에서는 Select-String
cmdlet 및 -Pattern
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Select-String -Path .\deebee.exe -Pattern 'THM*'
의도한 문자열만 추출하려면 -Pattern
옵션을 지정하는 방법에 궁리가 필요합니다.
Day 21 - #4.
What is the flag that is displayed when you run the database connector file?
NTFS 파일 시스템에는 "대체 데이터 스트림(ADS: Alternate Data Stream)"이라는 기능이 있습니다.
명령 프롬프트에서 대체 데이터 스트림에 대한 정보를 표시하려면 dir
명령의 /r
옵션을 사용할 수 있습니다.
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Users\littlehelper\Documents>dir /r
Volume in drive C has no label.
Volume Serial Number is C2ED-B403
Directory of C:\Users\littlehelper\Documents
11/23/2020 04:12 PM <DIR> .
11/23/2020 04:12 PM <DIR> ..
11/23/2020 11:21 AM 63 db file hash.txt
11/23/2020 11:22 AM 5,632 deebee.exe
6,144 deebee.exe:hidedb:$DATA
2 File(s) 5,695 bytes
2 Dir(s) 4,928,839,680 bytes free
PowerShell에서는 Get-Item
cmdlet 및 -Stream
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Item .\deebee.exe -Stream *
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe::$DATA
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe::$DATA
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : :$DATA
Length : 5632
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe:hidedb
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe:hidedb
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : hidedb
Length : 6144
대체 데이터 스트림에 추가된 실행 파일을 시작하려면 wmic.exe
(Windows Management Instrumentation Command Line) 명령줄 도구를 사용할 수 있습니다.
명령 구문은 다음과 같습니다.
PS C:\Users\littlehelper\Documents> wmic process call create $(Resolve-Path .\deebee.exe:hidedb)
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4804;
ReturnValue = 0;
};
이것으로, 21일째의 미션이 종료입니다.
참고 정보
Read the contents of the text file within the Documents folder. What is the file hash for db.exe?
CMD
, PowerShell
의 각각에서 조사해 보겠습니다.명령 프롬프트에서 텍스트 파일과 같은 내용을 화면에 표시하려면
TYPE
명령을 사용할 수 있습니다.C:\Users\littlehelper\Documents>type "db file hash.txt"
Filename: db.exe
MD5 Hash: 5966{BLOCKED}E3A1
PowerShell에서는
Get-Content
cmdlet을 사용할 수 있습니다.PS C:\Users\littlehelper\Documents> Get-Content -Path '.\db file hash.txt'
Filename: db.exe
MD5 Hash: 5966{BLOCKED}E3A1
Day 21 - #2.
What is the file hash of the mysterious executable within the Documents folder?
명령 프롬프트에서 파일의 해시 값을 계산하려면 CertUtil
명령을 사용할 수 있습니다.
C:\Users\littlehelper\Documents>CertUtil -hashfile deebee.exe md5
MD5 hash of deebee.exe:
5f03{BLOCKED}09f0
CertUtil: -hashfile command completed successfully.
PowerShell에서는 Get-FileHash
cmdlet을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-FileHash -Algorithm MD5 .\deebee.exe
Algorithm Hash Path
--------- ---- ----
MD5 5F03{BLOCKED}09F0 C:\Users\littlehelper\Documen...
Day 21 - #3.
Using Strings find the hidden flag within the executable?
Windows Sysinternals의 "Strings.exe"유틸리티를 사용하여 바이너리에 포함된 문자열을 검사할 수 있습니다.
또한 findstr
명령과 결합하면 정규식을 사용하여 유연한 문자열 검색을 수행할 수 있습니다.
c:\Tools>strings64.exe C:\Users\littlehelper\Documents\deebee.exe | findstr THM*
THM{f618{BLOCKED}b6f9}
PowerShell에서는 Select-String
cmdlet 및 -Pattern
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Select-String -Path .\deebee.exe -Pattern 'THM*'
의도한 문자열만 추출하려면 -Pattern
옵션을 지정하는 방법에 궁리가 필요합니다.
Day 21 - #4.
What is the flag that is displayed when you run the database connector file?
NTFS 파일 시스템에는 "대체 데이터 스트림(ADS: Alternate Data Stream)"이라는 기능이 있습니다.
명령 프롬프트에서 대체 데이터 스트림에 대한 정보를 표시하려면 dir
명령의 /r
옵션을 사용할 수 있습니다.
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Users\littlehelper\Documents>dir /r
Volume in drive C has no label.
Volume Serial Number is C2ED-B403
Directory of C:\Users\littlehelper\Documents
11/23/2020 04:12 PM <DIR> .
11/23/2020 04:12 PM <DIR> ..
11/23/2020 11:21 AM 63 db file hash.txt
11/23/2020 11:22 AM 5,632 deebee.exe
6,144 deebee.exe:hidedb:$DATA
2 File(s) 5,695 bytes
2 Dir(s) 4,928,839,680 bytes free
PowerShell에서는 Get-Item
cmdlet 및 -Stream
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Item .\deebee.exe -Stream *
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe::$DATA
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe::$DATA
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : :$DATA
Length : 5632
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe:hidedb
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe:hidedb
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : hidedb
Length : 6144
대체 데이터 스트림에 추가된 실행 파일을 시작하려면 wmic.exe
(Windows Management Instrumentation Command Line) 명령줄 도구를 사용할 수 있습니다.
명령 구문은 다음과 같습니다.
PS C:\Users\littlehelper\Documents> wmic process call create $(Resolve-Path .\deebee.exe:hidedb)
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4804;
ReturnValue = 0;
};
이것으로, 21일째의 미션이 종료입니다.
참고 정보
C:\Users\littlehelper\Documents>CertUtil -hashfile deebee.exe md5
MD5 hash of deebee.exe:
5f03{BLOCKED}09f0
CertUtil: -hashfile command completed successfully.
PS C:\Users\littlehelper\Documents> Get-FileHash -Algorithm MD5 .\deebee.exe
Algorithm Hash Path
--------- ---- ----
MD5 5F03{BLOCKED}09F0 C:\Users\littlehelper\Documen...
Using Strings find the hidden flag within the executable?
Windows Sysinternals의 "Strings.exe"유틸리티를 사용하여 바이너리에 포함된 문자열을 검사할 수 있습니다.
또한
findstr
명령과 결합하면 정규식을 사용하여 유연한 문자열 검색을 수행할 수 있습니다.c:\Tools>strings64.exe C:\Users\littlehelper\Documents\deebee.exe | findstr THM*
THM{f618{BLOCKED}b6f9}
PowerShell에서는
Select-String
cmdlet 및 -Pattern
옵션을 사용할 수 있습니다.PS C:\Users\littlehelper\Documents> Select-String -Path .\deebee.exe -Pattern 'THM*'
의도한 문자열만 추출하려면
-Pattern
옵션을 지정하는 방법에 궁리가 필요합니다.Day 21 - #4.
What is the flag that is displayed when you run the database connector file?
NTFS 파일 시스템에는 "대체 데이터 스트림(ADS: Alternate Data Stream)"이라는 기능이 있습니다.
명령 프롬프트에서 대체 데이터 스트림에 대한 정보를 표시하려면 dir
명령의 /r
옵션을 사용할 수 있습니다.
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Users\littlehelper\Documents>dir /r
Volume in drive C has no label.
Volume Serial Number is C2ED-B403
Directory of C:\Users\littlehelper\Documents
11/23/2020 04:12 PM <DIR> .
11/23/2020 04:12 PM <DIR> ..
11/23/2020 11:21 AM 63 db file hash.txt
11/23/2020 11:22 AM 5,632 deebee.exe
6,144 deebee.exe:hidedb:$DATA
2 File(s) 5,695 bytes
2 Dir(s) 4,928,839,680 bytes free
PowerShell에서는 Get-Item
cmdlet 및 -Stream
옵션을 사용할 수 있습니다.
PS C:\Users\littlehelper\Documents> Get-Item .\deebee.exe -Stream *
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe::$DATA
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe::$DATA
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : :$DATA
Length : 5632
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe:hidedb
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe:hidedb
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : hidedb
Length : 6144
대체 데이터 스트림에 추가된 실행 파일을 시작하려면 wmic.exe
(Windows Management Instrumentation Command Line) 명령줄 도구를 사용할 수 있습니다.
명령 구문은 다음과 같습니다.
PS C:\Users\littlehelper\Documents> wmic process call create $(Resolve-Path .\deebee.exe:hidedb)
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4804;
ReturnValue = 0;
};
이것으로, 21일째의 미션이 종료입니다.
참고 정보
Microsoft Windows [Version 10.0.17763.737]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Users\littlehelper\Documents>dir /r
Volume in drive C has no label.
Volume Serial Number is C2ED-B403
Directory of C:\Users\littlehelper\Documents
11/23/2020 04:12 PM <DIR> .
11/23/2020 04:12 PM <DIR> ..
11/23/2020 11:21 AM 63 db file hash.txt
11/23/2020 11:22 AM 5,632 deebee.exe
6,144 deebee.exe:hidedb:$DATA
2 File(s) 5,695 bytes
2 Dir(s) 4,928,839,680 bytes free
PS C:\Users\littlehelper\Documents> Get-Item .\deebee.exe -Stream *
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe::$DATA
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe::$DATA
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : :$DATA
Length : 5632
PSPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents\deebee.exe:hidedb
PSParentPath : Microsoft.PowerShell.Core\FileSystem::C:\Users\littlehelper\Documents
PSChildName : deebee.exe:hidedb
PSDrive : C
PSProvider : Microsoft.PowerShell.Core\FileSystem
PSIsContainer : False
FileName : C:\Users\littlehelper\Documents\deebee.exe
Stream : hidedb
Length : 6144
PS C:\Users\littlehelper\Documents> wmic process call create $(Resolve-Path .\deebee.exe:hidedb)
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4804;
ReturnValue = 0;
};
Reference
이 문제에 관하여([TryHackMe] Advent of Cyber 2, Day 21 - Walkthrough -), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/v_avenger/items/bf18e0d2330c6a23db8d텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)