Write-up HeroCTF - Forensic - We Need You 2/5
CTF : HeroCTF (version 3)
Nom du challenge : We Need You 2/5 (75 points)
Consigne :
It must be their team name.
For this second step, find the user's name and password in clear text.
Format : Hero{Username:Password}
Author : Worty
Suite à la réalisation du challenge We Need You 1/5, nous avons trouvé le format de l'image de la RAM du poste.
On doit maintenant retrouver ses identifiants de session Windows. Heureusement, un plugin Volatility nous permet de dumper les hash NT/LM contenus dans le registre (Base SAM).
oot@kali:~/Desktop/Challenge# volatility -f capture.mem --profile=Win7SP1x86 hashdump
Volatility Foundation Volatility Framework 2.6
Administrateur:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invit:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Razex:1000:aad3b435b51404eeaad3b435b51404ee:78d9c7e905c695087ee3baa755ce43e4:::
On sait alors que son nom d'utilisateur est Razex et le hash NT de son mot de passe est 78d9c7e905c695087ee3baa755ce43e4. Il y a plusieurs moyens de retrouver le mot de passe de l'utilisateur via le hash NT (bruteforce avec hashcat par exemple) mais on va tenter de le retrouver via une RaimbowTable en ligne (Crackstation) :
Le flag donne donc : Hero{Razex:liverpoolfc123} 👌