HeroCTF (v3) - We need you 2/5 (Forensic)


Temps de lecture : 0 minutes, 53 secondes | 167 vues
write-up cybersécurité ctf heroctf forensic

Write-up HeroCTF - Forensic - We Need You 2/5

Le challenge

CTF : HeroCTF (version 3)

Nom du challenge : We Need You 2/5 (75 points)

Consigne :

It must be their team name.

For this second step, find the user's name and password in clear text.

Format : Hero{Username:Password}

Author : Worty



Write-up

Suite à la réalisation du challenge We Need You 1/5, nous avons trouvé le format de l'image de la RAM du poste.

On doit maintenant retrouver ses identifiants de session Windows. Heureusement, un plugin Volatility nous permet de dumper les hash NT/LM contenus dans le registre (Base SAM).

oot@kali:~/Desktop/Challenge# volatility -f capture.mem --profile=Win7SP1x86 hashdump
Volatility Foundation Volatility Framework 2.6
Administrateur:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invit:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Razex:1000:aad3b435b51404eeaad3b435b51404ee:78d9c7e905c695087ee3baa755ce43e4:::

On sait alors que son nom d'utilisateur est Razex et le hash NT de son mot de passe est 78d9c7e905c695087ee3baa755ce43e4. Il y a plusieurs moyens de retrouver le mot de passe de l'utilisateur via le hash NT (bruteforce avec hashcat par exemple) mais on va tenter de le retrouver via une RaimbowTable en ligne (Crackstation) :

crackstation

Le flag donne donc : Hero{Razex:liverpoolfc123} 👌

Ajouter un commentaire


Commentaires




Tue, 27 Jul 2021 08:54:21 - Par wrBEIRqX : 555



Tue, 27 Jul 2021 08:54:07 - Par wrBEIRqX : 555



Sun, 25 Jul 2021 21:54:18 - Par gvDIgrDT : 555



Sun, 25 Jul 2021 21:53:55 - Par gvDIgrDT : 555


Article précédent Article suivant