문제명 : Find Password
분류 : DiskForensic
Hint : ALYSSA 의 계정
Key Format : TEXT
[*] 문제풀이 환경
-운영체제 : Windows 10x64
-사용도구 : 반디집, file, pwdump, NTLM 디코더
-문제파일 : forensics.rar
문제풀이
1) 반디집으로 문제파일 압축해제
2) file 명령어로 SAM, SYSTEM 파일의 유형을 확인하자 레지스트리 파일인 것을 확인할 수 있었다.
따라서 레지스트리 파일과 문제의 Hint를 통해 계정 정보에 대해 알아야 한다.
※윈도우 레지스트리 정보
SAM : 윈도우 사용자의 계정 정보와 관리자 비밀번호 등을 저장
SYSTEM : 시스템 부팅에 필요한 시스템 전역 구성 정보 저장
SECURITY : 시스템 보안과 보안정책에 관한 정보 저장
SOFTWARE : 소프트웨어 정보 , 시스템 부팅과 관련 없는 전역 정보 저장
DEFAULT : 제어판 , 키보드 , 키보드 레이아웃과 같은 기본 정보 저장
윈도우 레지스트리 정보를 확인해보니 계정 정보를 가지고 있는 SAM 레지스트리를 이용해야 할 것 같다.
3) pwdump7이라는 도구를 사용해 SAM에 관련한 정보를 확인
※pwdump7
SAM(보안계정관리자)파일에서 로컬 사용자 계정의 LM(LAN Manager; 로컬 사용자 계정의 암호를 해시 값으로 변환해 저장한다.) 과 NTLM(NT LAN Manager; LM의 개선으로 네트워크를 통해 전송되는 암호에 해시 처리된 암호를 요구하지 않고 challenge/response 프로세를 이용한다) 의 암호 해시들을 출력하는 윈도우 프로그램
SAM 파일과 SYSTEM 파일을 같이 사용해 분석한다.
*사용방법 참고 블로그 : https://m.blog.naver.com/autumn666/221659174493
pwdump7을 사용하면 로컬 사용자 정보들이 출력된다. 출력되는 정보는 다음과 같다.
사용자 계정 : SID : LM 해시 : NTLM 해시
4) 문제의 key는 알리사라는 계정을 이용해 찾아야한다. 값이 있는 위치는 NTLM 해시 의 위치이므로
이 값을 디코딩 해보자. 그러나 디코딩 되지 않는다 ㅠㅠ
> 문제의 힌트는 ALYSSA의 계정이므로 ALYSSA가 가진 계정이라는 뜻으로 해석하여 admin의 NTML 해시를 디코딩 해보자 .
KEY 는 비밀이다!
이번 문제는 윈도우 레지스트리 공부 후 활용해보기 위한 문제였다
'Forensic > CTF' 카테고리의 다른 글
| Forensic CTF(3) - Find Key(Black) (0) | 2021.11.14 |
|---|---|
| Forensic CTF(2) - Find Key(docx) (0) | 2021.11.14 |
