解けたのはforensics100と300だけ、あとはcrypt100の法則に気がついた(ソルバー書いたのは後輩)のとforensics200の仕様を発見した(スクリプト書いて回したのは後輩)くらいしか貢献できませんでした...
とりあえずforensics300だけメモしておきます。(追記:最下部にWriteUpへのリンクをまとめました)
問題:ログインパスワードを解明せよ
調査対象パソコンのユーザー名Forensicsのパスワードが不明な状態です。 システムの電源を落とす前に、win32ddにより、メモリ全体のイメージファイル(RAW形式)が取得されています。 このイメージファイルを解析し、ユーザー Forensics のWindowsへのログオンパスワードが何かを特定してください。
メモリをダンプした対象システムは Windows 7, x86(32bit)です。
Memorydump2.rar
参考にしたのは
http://cyberarms.wordpress.com/2011/11/04/memory-forensics-how-to-pull-passwords-from-a-memory-dump/
Volatility 2.3.1 Standaloneを使いました。
https://code.google.com/p/volatility/downloads/list
Windows 7 x86とのことなので、
C:\Users\keiichiro\Desktop>volatility hivelist -f Memorydump2.bin --profile=Win7SP0x86 Volatility Foundation Volatility Framework 2.3.1 Virtual Physical Name ---------- ---------- ---- 0x9ff5a3c0 0x37fbb3c0 \SystemRoot\System32\Config\SECURITY 0x9ffc03a0 0x30e243a0 \SystemRoot\System32\Config\SAM 0x8f60c568 0x04bbc568 [no name] 0x8f61c008 0x005d2008 \REGISTRY\MACHINE\SYSTEM 0x8f6448d8 0x04b3c8d8 \REGISTRY\MACHINE\HARDWARE 0x90659650 0x199c0650 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT 0x906d8008 0x13200008 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT 0x93cf5008 0x38814008 \Device\HarddiskVolume1\Boot\BCD 0x93d479d0 0x388c19d0 \SystemRoot\System32\Config\SOFTWARE 0x989bc008 0x37920008 \SystemRoot\System32\Config\DEFAULT 0x9e6e69d0 0x005469d0 \??\C:\Users\forensics\ntuser.dat 0x9efe5650 0x028aa650 \??\C:\Users\forensics\AppData\Local\Microsoft\Windows\UsrClass.dat
SAMとSYSTEMの番地が分かったので、これを使って
C:\Users\keiichiro\Desktop>volatility hashdump -f Memorydump2.bin --profile=Win7SP0x86 -y 0x8f61c008 -s 0x9ffc03a0 > passhashs.txt Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: forensics:1000:aad3b435b51404eeaad3b435b51404ee:98ffdb1b29e7c88954326cd4011141d8:::
ophcrackにrainbow table(vista_free)を読ませてpasshashs.txtを投入すると3秒くらいで出ました。
最後はforensicsの500をいじってましたが、500点問題となるとうまくはいかないもんですね...
追記:以下に参考になるWrite-upを貼っていくことにします。
見つけ次第、更新していきます。
フォレンジックス
[100] ここはどこ?
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://mrt-k.hateblo.jp/entry/2014/01/26/153934
http://senz.hatenablog.com/entry/2014/01/26/144304
http://misodengaku.hatenablog.com/entry/2014/01/27/032047
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[200] 削除されているファイルの名前は何ですか?
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://gomiba.co.in/blog/archives/351
https://mimumimu.net/blog/2014/01/27/seccon-ctfweb%E4%BA%88%E9%81%B8%E3%81%AB%E5%8F%82%E5%8A%A0%E3%81%97%E3%81%A6%E3%81%8C%E3%82%93%E3%81%B0%E3%81%A3%E3%81%9F/
[300] ログインパスワードを解明せよ
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://gomiba.co.in/blog/archives/342
https://mimumimu.net/blog/2014/01/27/seccon-ctfweb%E4%BA%88%E9%81%B8%E3%81%AB%E5%8F%82%E5%8A%A0%E3%81%97%E3%81%A6%E3%81%8C%E3%82%93%E3%81%B0%E3%81%A3%E3%81%9F/
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
http://eleclog.quitsq.com/2014/01/seccon-ctf-2013-online.html (この記事)
[400] QRコードの断片を読み取れ
http://eleclog.quitsq.com/2014/01/seccon-ctf-2013-online-forensics-400.html
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[500] CVE-2011-2484
プログラミング・crypt
[100] calculate it / 計算せよ
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://math314.hateblo.jp/entry/2014/01/26/135814
[200] 数「毒」ちゃれんじ★
http://sc123.hatenablog.jp/entry/2014/01/26/122313
http://math314.hateblo.jp/entry/2014/01/26/135814
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[300] Cryptanalysis
http://math314.hateblo.jp/entry/2014/01/26/135814
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[400] TicTacLogic
http://math314.hateblo.jp/entry/2014/01/26/135814
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[500] 古典暗号ちゃれんじ★
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://math314.hateblo.jp/entry/2014/01/26/135814
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
バイナリ
[100] Enjoy the Game
http://d.hatena.ne.jp/Dltn/20140126/1390708058
https://mimumimu.net/blog/2014/01/27/seccon-ctfweb%E4%BA%88%E9%81%B8%E3%81%AB%E5%8F%82%E5%8A%A0%E3%81%97%E3%81%A6%E3%81%8C%E3%82%93%E3%81%B0%E3%81%A3%E3%81%9F/
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
http://d.hatena.ne.jp/aki33524/20140126/1390761307
[200] exploit me
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
http://d.hatena.ne.jp/aki33524/20140126/1390761307
[300] RISC processor
http://orumin.blogspot.jp/2014/01/seccon-ctf-2013-online-wirteup.html
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[400] Enter 8-char password to the interpreter
http://d.hatena.ne.jp/Dltn/20140126/1390708058
[500] Hack this site
http://pastebin.com/EY0gSCYe
ネットワーク・Web
[100] repeat after me
http://takahoyo.hatenablog.com/entry/2014/01/26/184133
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[200] Find the key!
http://senz.hatenablog.com/entry/2014/01/26/144304
http://takahoyo.hatenablog.com/entry/2014/01/26/184133
http://misodengaku.hatenablog.com/entry/2014/01/27/032047
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
[300] Hidden Message?
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://takahoyo.hatenablog.com/entry/2014/01/26/184133
http://misodengaku.hatenablog.com/entry/2014/01/27/032047
[400] SECCON競馬
https://gist.github.com/tyage/8628077
[500] 箱庭XSS Final
http://gomiba.co.in/blog/archives/354
http://d.hatena.ne.jp/Dltn/20140126/1390708058
http://dec12-kaz.hatenablog.com/entry/2014/01/26/170218
http://misodengaku.hatenablog.com/entry/2014/01/27/032047
http://d.hatena.ne.jp/kusano_k/20140126/1390761127
その他
[100] 練習問題
http://yagihashoo.com/archives/596
[200] Encode me.
http://orumin.blogspot.jp/2014/01/seccon-ctf-2013-online-wirteup.html
http://dec12-kaz.hatenablog.com/entry/2014/01/26/170218
[300] Crossword Puzzle
http://dec12-kaz.hatenablog.com/entry/2014/01/26/170218
[400] solve the steganography
http://wataamectf.blogspot.jp/2014/01/seccon-ctf-2013-onlinewriteup.html
http://d.hatena.ne.jp/aki33524/20140126/1390761307
[500] Secret of Galaxy / 銀河の秘密
リンク貼られたら困る!という方はコメント欄か@9GHzに「リンクするなアホ」とお伝えください。
追加もコメント欄か@9GHzまでお願いします。
0 件のコメント:
コメントを投稿
記事へのコメントはいつも確認している訳ではないので、お返事が遅れる場合があります。
ご質問やご意見は twitter@9SQ へお送り頂けると早くお返事できると思います。