仙台CTF2018 Lab.2 脆弱性攻撃コードの特定 100

問題

解いてみた

webサイト閲覧中に攻撃食らう脆弱性と言えばFlashですよね。もしくはpdfとか。
ちゃんと問題文のフラグの例のファイルもswfになってますし。

ダウンロードしたファイルの中からswfファイルを抽出したところ4つありました。

問題文に内容をテキストに書き換えてると書いてあるのでサクラエディタで開いてみます。

ひとつだけテキストのファイルがありました。ほかはバイナリ。
これが正解。

とはいってもこんな邪道な解き方では不完全燃焼なので一応$MFTも解析してみます。
fte | Forensicist を使います。

結果をExcelに張り付けてcrtime(FN)の昇順に並び替えます。
そして一つ前の問題で検知したファイルは1.exeだったので、検索します。
そしたら1.exe直前に作成されたファイルがさっきの答えのファイルでした。

という解き方が本来の解き方な気がします。