Forensic
[CTF-D] GrrCON 2015 #9
chimita
2022. 8. 6. 02:24
음 문제를 보니 NTLM의 해시를 알아야 할 것 같다.
NTLM을 이번에 처음 들어봤기 때문에 검색을 많이 해봤다.
NTLM (NT LAN MANAGER) : 윈도우에서 제공하고 있는 인증 프로토콜 중 하나로 Challenge-Response(도전 - 응답)라고 불리는 인증 프로토콜 방식 사용
volatility 플러그인 중 하나인 hashdump 를 사용하면 해시 값이 출력 된다는 것을 알게 되었다.
https://velog.io/@swimming/Volatility-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8
Volatility 플러그인
볼라틸리티(Volatility) 플러그인 정리
velog.io
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 hashdump
3개의 해시 목록이 출력되었다.
문제에서 administrator의 해시를 원했으니 Flag는 aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82 이거 일 것 같다.
🔑 aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82
클리어!
