파일을 열면 metadata에 md5 해시가 있다.
operating system information에 가면 desktop name이 있다.
그 아래 Operating system user account를 가면 users가 있다.
data accessed 순으로 정렬하면 맨 아래 sivapriya이다.
...ip 주소 어딨는지 못찾았다... 라이트업 ON...
Look@Lan이라는 프로그램에서 network를 모니터링 한다.
이부분에 LANIP와 LANNIC(MAC)주소가 있다.
windows/system32/config에 software 레지스트리 파일을 열면...
microsoft/currentversion/networkcards에 description 항목이 있다.
programs 목록을 열람하여 Look@LAN 확인
web bookmarks에서 location이 될 만 한 주소 찾기..
image/video gallery 에디터를 열면 Users/joshwa/Downloads에 wallpaper가 있다. full name은 이미지를 확대하면 나온다.
shreya/AppData/Roaming/Microsoft/Windows/Powershell을 열람하여 readline에서 history를 확인한다.
파워쉘에서 desktop으로 cd하였기 때문에 해당 user의 desktop 디렉토리로 간다.
Desktop을 가면 exploit.ps1 파일이 있다. hacked.txt의 flag가 존재한다.
일단 하나는 Mimikatz이다 downloads에 해당 tool zip을 확인할 수 있다.
하나는 windows/prefetch를 가면 알 수 있다.
LAZAGNE이다.
run programs을 보니 실행중인 Lazagne
mimikatz zip파일을 더블클릭 하면 다음과 같다. kiwi_passwords.yar에 author name이 있다.
recent documents를 가면 zerologon Ink 파일이 답이라고 한다. 이게 왜 domaincontroller를 exploit 할 수 있는지는 모르겠다...
'SWING > forensic' 카테고리의 다른 글
| [6주차] FAT.001 문제 풀이 (0) | 2024.05.21 |
|---|---|
| [5주차] block.py (0) | 2024.05.14 |
| [5주차] 문제 제작 과제 (0) | 2024.05.14 |
| [5주차] 암호 문서화 과제 (0) | 2024.05.14 |
| [5주차] mitm.py (0) | 2024.05.13 |