ctf - d Memory #9~#16 [GrrCon2015]

풀이: volatility - hashdump 사용. 먼저 hivelist 명령어를 통해 system과 SAM파일의 가상 주소를 확인하고 hashdump 명령어를 사용하여 계정 정보를 덤프한 다음 내용을 확인해보면 플래그 값을 알 수 있다.

flag : aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82

풀이: 2996.dmp 파일 살펴보기. txt파일을 살펴보다보면 g로 시작하는 getlsasrvaddr.exe파일과 이외 3개의 exe파일을 확인할 수 있다. 이 exe프로그램들을 알파벳 순으로 정렬하면 flag가 된다.

flag : nbtscan.exe, Rar.exe, wce.exe

풀이: 프런트 데스크 로컬 관리자 계정의 암호를 묻는 문제임으로 wce.exe(윈도우 계정의 패스워드 해시 정보 및 문자열 정보를 추출해서 보여주는 도구)에 대해 찾기. wce.exe는 w.tmp에 정보가 있었으므로 w.tmp의 dmp 파일을 HxD 툴을 사용하여 살펴보면 flag 값이 나온다. 

flag : flagadmin@1234 

풀이: mftparser 사용하여 생성시간 타임스탬프 찾기. mftparser | grep "nbtscan" 명령으로 플래그를 찾을 수 있다.

flag : 2015-10-09 10:45:12

풀이: filescan | grep "nbs.txt"를 통해 주소(0x000000003fdb7808)를 얻고 덤프 후 파일 확인

flag : 10.1.1.2

 

풀이: netscan 명령어로 IP주소와 port번호 찾기. 

flag : 180.76.254.120:22

풀이: '실행 중'인 프로세스의 이름을 찾는 문제이므로 netscan 사용하기.

flag : Teamviewer.exe

풀이: IP주소를 찾기 위해 netscan 사용. 원격 접근 방식에 mstsc가 사용되기 때문에 mstsc의 IP주소 참고하기.

flag :  10.1.1.21