Information Security

5a 0c 00 00 값 중 뒤에 나오는 문자열을 확인할 수 있다.

PID 708의 Dump를 떠보았다. strings 708.dmp > 708.txt로 만들어 Lunar로 검색해 username을 확인했다.

어떤 프로그램을 사용하고 있는지 프로세스를 확인하기 위해 pslist 플러그인을 사용했다. 수상한 프로세스 LunarMs.exe, Rick And Morty 프로세가 수상한 것을 알 수 있다. 수상한 LunarMS.exe 프로세스를 grep으로 조회했다.

netscan으로 IP부터 조회했다. PC명은 HKLM/SYSTEM 키의 가상 주소를 확인했다. PC 이름은 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName 에 들어있습니다. printkey 플러그인을 이용해서 레지스트리 키 파일 주소를 입력하고 경로를 이용해서 키값을 확인해 보겠습니다.

OtterCTF.vem 메모리 덤프 파일을 imageinfo 플러그인을 사용했다. profile은 Win7SP1x64를 사용하고 password를 사용하기 위해 hivelist 파일의 가상 주소를 찾았다. 계정의 Password가 존재할 것 같은 SAM 파일과 SYSTEM파일을 Rick 사용자의 NTLM 크랙 했지만 아무것도 나오지 않았다. Password를 시스템 LSA 암호에 저장할 수도 있기 때문에 lsadump 플러그인을 이용해 조회했다. 윈도우 계정의 Password를 알아낼 수 있는 mimikatz를 이용해도 Password가 동일한 것을 알 수 있다.