ctf-d memory GrrCON 2015 #11

#10 번에서 나온 exe파일들 중 하나를 사용하여 평문 암호를 덤프하였다고 한다. 

 

그렇다면 nbtscan.exe , Rar.exe , wce.exe 가 무엇을 하는 프로그램인지 알아야 한다.

 

nbtscan.exe : netbios name 의 정보를 얻기 위해 네트워크를 점검 하는 프로그램

 

rar.exe : 이 파일은 WinRAR 소프트웨어의 구성 요소로 RAR 및 ZIP 파일 형식으로 압축 파일을 작성하는데 사용되는 파일 아카이버 및 압축 도구

 

wce.exe : 윈도우 계정의 비밀번호 해시 정보 및 문자열 정보를 추출해서 보여주는 도구

 

따라서 프런트 데스크 로컬 관리자 계정의 "암호" 를 묻는 문제임으로 wce.exe에 관련된 내용을 찾아야 한다.

 

wce.exe 프로그램은 보통 cmd로 입력을 하기 때문에 cmdscan이라는 명령어를 사용해 볼것이다.

 

 

 

위 사진을 보면 wce.exe 파일의 내용이 w.tmp에 저장되어 있는것을 발견하였다. 그렇다면 w.tmp의 저장 위치를 알아내서 dump를 뜬 후 파일의 내용을 본다면 문제를 풀 수 있을것이라고 생각한다.

 

0x000000003eca37f8 의 주소를 얻었으니 이제 덤프를 시작해보도록 하자.

 

리눅스에 HxD 까는것이 귀찮아서 그냥 온라인에 있는 툴을 사용하였다.

 

정답 :  flagadmin@1234