LoginSignup
0
0

More than 3 years have passed since last update.

@samohan

仙台CTF 2019 Lab3.不審ダウンロード 100

Posted at

問題

image.png

解いてみた

windows標準コマンドでファイルのダウンロードできたのか!
wget的なことができる?

powershellでしょうか?
powershell関連のログは以下の3つ。

Lab02\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Admin.evtx
Lab02\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx
Lab02\Windows\System32\winevt\Logs\Windows PowerShell.evtx

Microsoft-Windows-PowerShell%4Operational.evtx以外は0件でした。
Microsoft-Windows-PowerShell%4Operational.evtxの中身を見てみると2件ログがありましたが、ダウンロードっぽいのはなし。

WMIでしょうか?

Lab02\Windows\System32\winevt\Logs\Microsoft-Windows-WMI-Activity%4Operational.evtx

264件もログがあって、期待が持てます。
「http」で検索してみても0件。。。

とりあえずあてずっぽでやるんではなくて、Windows標準でどうやってファイルをダウンロードするのか調べてみる。

image.png

bitsadminっていうコマンドでできるっぽい。

image.png

仙台CTFのページが出てきたので見てみる。

image.png

とのこと。

Lab02\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx

をcsvにエクスポートしてhttpで絞り込む。

image.png

これが答え。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0