[日本語] [English]

memedium

約256MBのファイル mememachinememory.vmem が与えられ、パスワードを求めるように要求された。

このファイルにstringsコマンドを適用すると、APIの名前やファイル名など、Windowsで使われていそうな文字列が出てきた。
そこで、「windows memory image find password」でググると、以下のページが見つかった。

How to retrieve user’s passwords from a Windows memory dump using Volatility | Andrea Fortuna

このページに沿って操作すると、以下のハッシュのデータが得られた。

hashes.txt

以下が具体的な操作の記録である。なお、ファイルのパスは省略している。

log.txt

得られたハッシュをCrackStationに投げると、 31a5167ba5ce8351b0110a9d13636cd9superman83 に対応するNTLMハッシュであることがわかり、flagが得られた。

flag{superman83}

writeup by MikeCAT

PBjar CTF