files → Forensics → Password
system32.kr의 Password 문제 풀이입니다.
cmd.md
I lost my password….
Who can find password?
Make my pental
zip파일이 주어진다.
윈도우 프로세스 덤프파일로 보인다.
이 프로세스 덤프파일에서 패스워드를 찾아야 한다.
일단 어디에 있는지를 몰라서 검색해봤다.
"윈도우 패스워드 프로세스"
갓 구글.. 원하는걸 딱 보여준다.
패스워드는 lsass.exe에 있는 것 같다.
lsass.exe를 덤프한 lsass.DMP만 따로 뺐다.
mimikatz를 이용하면 윈도우 패스워드를 알 수 있다.
다운로드 링크 : https://github.com/gentilkiwi/mimikatz/releases
(그냥 다운로드 받으면 바이러스 있다고 막아버린다. 윈도우 디펜더랑 이것저것 다 꺼놔야 한다.)
lsass.DMP파일을 mimikatz.exe 경로로 옮겼다.
mimikatz.exe를 실행하고 다음 명령어를 입력해 주었다.
sekurlsa::minidump lsass.DMP
sekurlsa::logonpasswords
만약 오류가 나면 아래를 참고하자.
Some errors:
ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->MajorVersion (A) != MIMIKATZ_NT_MAJOR_VERSION (B)
You try to open minidump from a Windows NT of another major version (NT5 vs NT6).ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->ProcessorArchitecture (A) != PROCESSOR_ARCHITECTURE_xxx (B)
You try to open minidump from a Windows NT of another architecture (x86 vs x64).ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000002)
The minidump file is not found (check path).- https://github.com/gentilkiwi/mimikatz/wiki/module-~-sekurlsa
플래그를 구할 수 있다.
FLAG : FLAG{I_WILL_FIND_PASSWORD}
