문제를 보겠습니다.
관리자 계정의 NTLM 암호 해시를 찾아야 하는데, volatility는 hash를 덤프해주는 hashdump 플러그인이 있습니다.
hashdump는 SAM 파일을 추출할 때 쓰이는 명령이고, 사용자의 암호 해쉬값을 찾을 수 있습니다.
volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 hashdump
Flag : aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #11 (0) | 2022.07.09 |
|---|---|
| [Memory] GrrCon 2015 #10 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #8 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #7 (0) | 2022.07.08 |
| [Memory GrrCon 2015 #6 (0) | 2022.07.08 |