NEWSECU CTF 2019 Easy_Forensics (1)

Easy_Forensics (1)

[시작 화면]
2.2G 용량의 윈도우7 가상머신 파일이 있다. 시작하면 로그인 화면에서 암호를 입력해야 하기 때문에 진입을 못한다. 이 암호가 무엇인지 알아내면 정답이다.
[vmdk 파일 추출]
그러려면 우선 vm파일을 추출하는 과정이 필요한데 FTK Imager를 이용하면 추출이 가능하다. 내용물 전부 추출할 필요는 없다 하이브 파일이 들어있는 폴더만 가져온다.
[Registry Analysis Tool]
이후 레지스트리 분석 도구를 이용해 사용자 계정 정보를 확인한다. 3번째에 있는 nolja 계정에 Secret 이름이 있는 것을 보면 우리가 원하는 정보는 이것임을 알 수 있다. 계정 정보에는 NT해쉬도 같이 저장되는데 이 NT해쉬가 바로 암호를 말하는 것이다.
[복호화 성공!]
암호를 입력하면 환영합니다 메세지를 볼 수 있을 것이다.

flag{st4rt}

공유하기