約256MBのファイル mememachinememory.vmem が与えられ、パスワードを求めるように要求された。
このファイルにstringsコマンドを適用すると、APIの名前やファイル名など、Windowsで使われていそうな文字列が出てきた。
そこで、「windows memory image find password」でググると、以下のページが見つかった。
A file mememachinememory.vmem (about 256MB) was given, and we were asked to find a password.
Applying the strings command to this file and observing,
I found strings that should be used in Windows such as names of APIs and files.
Seeing this, I googled "windows memory image find password" and found this page:
How to retrieve user’s passwords from a Windows memory dump using Volatility | Andrea Fortuna
このページに沿って操作すると、以下のハッシュのデータが得られた。
I obtained this hash data by executing commands according to this page.
以下が具体的な操作の記録である。なお、ファイルのパスは省略している。
This is the commands I executed and their results. (pathes of files are omitted)
得られたハッシュを31a5167ba5ce8351b0110a9d13636cd9 が superman83 に対応するNTLMハッシュであることがわかり、flagが得られた。
I sent the hashes obtained to 31a5167ba5ce8351b0110a9d13636cd9 is a NTLM hash corresponding to superman83 and I obtained the flag.