8번 문제는 추측성 문제 + 포렌식 실력하고는 거리가 먼듯해 건너뛰고 9번 문제를 다룰 것이다. 이번에는 관리자 계정의 해시 암호를 알아내야 한다.
https://www.andreafortuna.org/2017/11/15/how-to-retrieve-users-passwords-from-a-windows-memory-dump-using-volatility/를 참고하면 좋을 것 같다.
hivelist를 통해 여러 레지스트리 하이브의 가상 및 절대 주소를 알 수 있는데, 계정의 (해쉬)비밀번호를 알기 위해서는 SYSTEM과 SAM파일의 가상 주소가 필요하다.
그 이유는 명령어의 인자로 써야하기 때문인데,
'volatility -f image.vmem --profile=[Profile명] hashdump -y [SYSTEM의 virtual 주소] -s [SAM의 virtual 주소]' 명령어 실행을 통해 계정 정보를 덤프해 얻어낼 수 있다.
명령 실행 결과가 저장된 hashes.txt의 내용을 출력 후 살펴보자. 빨간색으로 표시된 부분이 바로 관리자 계정의 암호 해시이다.
이를 복사해 flag로 제출하니 정답이었다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #11(11) (0) | 2021.12.13 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #10(10) (0) | 2021.12.09 |
| [DigitalForensic with CTF] GrrCON 2015 #7(7) (0) | 2021.12.07 |
| [DigitalForensic with CTF] GrrCON 2015 #6(6) (0) | 2021.12.06 |
| [DigitalForensic with CTF] GrrCON 2015 #5(5) (0) | 2021.12.04 |
