Memory Forensic
-
OtterCTF Memory Forensic write up$ Capture The Flag $ 2020. 1. 16. 21:29
다운로드 받은 메모리 파일의 user password를 구하는 문제 입니다. 먼저 해당 메모리 파일의 Profile을 알아 보겠습니다. Win7SP1x64 를 이용하면 될 것 같습니다. User의 Password를 알아 내기 위해서 SAM 파일과 SYSTEM 파일을 이용해서 NTLM Hash을 알아 보겠습니다. 518172d012f97d3a8fcc089615283940을 해시값으로 여러 NTLM 해시 크래킹 사이트를 이용했지만 성공하지 못했습니다. 이번에는 문자열로 Password를 시스템 LSA 암호에 저장할수도 있기 때문에 lsadump 플러그인을 이용해 보겠습니다. DefaultPassword에 MortyIsReallyAnOtter이 있습니다. Flag : CTF{MortyIsReallyAnOtte..