Hack4S3cur1ty

지문에서 패스워드 저장 서비스에서 복사 & 붙여넣기 하여 사용한다고 한다.volatility의 clipboard를 통해 답을 찾을 수 있다. 12345>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 clipboardVolatility Foundation Volatility Framework 2.6Session WindowStation Format Handle Object Data---------- ------------- ------------------ ------------------ ------------------ -------------------------------------------------- 1 WinSta0 CF_UNICODETEXT 0x602e3 ..

지문을 통해 character의 username이 특정 시그니처에 나타난다는 것을 알 수 있고, yarascan을 통해 찾을 수 있다. 1234567>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 yarascan --yara-rules="{64 [6-8] 40 06 [18-18] 5a 0c 00 00}" -p 708Volatility Foundation Volatility Framework 2.6Rule: r1Owner: Process LunarMS.exe Pid 7080x5ab4dfa9 64 00 00 00 00 00 00 40 06 00 00 b4 e5 af 00 01 d......@........0x5ab4dfb9 00 00 00 00 00 00 00 b0 e5 a..

지문을 통해 Lunar-3 채널에 로그인 했다는걸 알 수 있고, yarascan을 통해 계정이름을 찾을 수 있다. 1234567>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 yarascan -Y "Lunar-3" -p 708Volatility Foundation Volatility Framework 2.6Rule: r1Owner: Process LunarMS.exe Pid 7080x5a0c1070 4c 75 6e 61 72 2d 33 00 00 7a 33 00 00 00 00 00 Lunar-3..z3.....0x5a0c1080 00 1d 00 00 00 01 00 00 00 0b 00 00 00 0b 00 00 ................0x5a0c1090 00 3..

크롬 검색 기록에서 사설게임서버를 검색한 흔적을 찾을 수 있었고, pstree와 netscan을 통해 게임이름과 아이피를 찾을 수 있다. 1234567891011121314151617>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstreeVolatility Foundation Volatility Framework 2.6Name Pid PPid Thds Hnds Time-------------------------------------------------- ------ ------ ------ ------ ----. 0xfffffa801b5cb740:LunarMS.exe 708 2728 18 346 2018-08-04 19:27:39 UTC+0000 >vol.py -..

volatility의 envars와 netscan 명령어로 정답을 찾을 수 있다. 12345678>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 envars | findstr COMPUTERNAMEVolatility Foundation Volatility Framework 2.6396 wininit.exe 0x00000000002abae0 COMPUTERNAME WIN-LO6FAF3DTFE >vol.py -f OtterCTF.vmem --profile=Win7SP1x64 netscanVolatility Foundation Volatility Framework 2.6Offset(P) Proto Local Address Foreign Address State Pid Owne..