Post

La composition perdue du pianiste

𝄞 Introduction

Intro

𝄞𝄞 Solution

On commence par regarder les fichiers sur le Desktop de l’utilisateur.

1
python2 vol.py -f /home/kali/Desktop/medium.mem --profile=Win7SP1x86_23418 filescan | grep "Desktop"

vol1

On trouve un fichier appelé “partition_secrete.rar nous pouvons extraire ce fichier avec la commande suivante :

1
python2 vol.py -f /home/kali/Desktop/medium.mem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003f8aff80 -D /home/kali/Desktop

vol2

Nous pouvons essayer d’extraire le fichier .rar

rar

Mais on nous demande un mot de passe … il faut aller chercher dans la ram un mot de passe pour pouvoir extraire le contenu du fichier .rar

La commande clipboard, nous renvoie une chaine encodé en base64

1
 python2 vol.py -f /home/kali/Desktop/medium.mem --profile=Win7SP1x86_23418 clipboard

clipboard2

Qui une fois décodé, affiche un rabbit hole.

rabbit

Il va falloir chercher plus loin.

Historique navigateur

Pour trouver le mot de passe du fichier .rar, il va falloir fouiller côté historique du navigateur.

1
python2 vol.py -f /home/kali/Desktop/medium.mem --profile=Win7SP1x86_23418 iehistory

rabbit

On trouve un lien Pastebin Note à moi même : Le mot de passe de mon zip est : fxoverflo…

password

Nous avons maintenant le mot de passe du fichier .rar

Nous obtenons un fichier “wordlist.txt” et un fichier “flag2.png

partition

On trouve le code secret pour le flag2 : m0z4r7. Il nous manque plus qu’a trouver le mot de passe de l’utilisateur.

Mot de passe du compte “Le Pianiste”

Quand on regarde le fichier wordlist.txt.

wordlist

On tombe sur une belle wordlist de mot de passe. Il va falloir utiliser le plugin “hashdump” de volatility3 ou utiliser hivedump de volatility2 pour dump la table SAM et SYSTEM.

1
python3 vol.py -f /media/sf_Share_folder/medium.mem windows.hashdump

hashdump

Voici le hash du compte “Le-Pianiste” : 235118796ff07ea2c26380053f06d9b2

Nous pouvons maintenant essayer de le casser avec notre wordlist !

1
hashcat -m 1000 hash.txt wordlist.txt

crack

Nous avons maintenant le flag au complet !

𝄞 FLAG : MB{b1aab836-bef5-42b5-bf02-955913fd18e6}𝄞

This post is licensed under CC BY 4.0 by the author.