Windows 시스템은 컴퓨터 이름을 아래 레지스트리에 저장하고 있다.
Key: HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
Data: ComputerName
Value: <컴퓨터 이름>
volatility의 hivelist 플러그인을 사용해 SYSTEM 하이브 파일이 위치해있는 주소를 알아낸다.
printkey를 이용해 SYSTEM\CurrentContolSet 서브키를 들여다보면 ContorlSet001을 심볼릭링크로 가지고 있는 걸 볼 수 있다. CurrentControlSet의 실체는 ControlSetXXX를 가리키는 녀석이다.
CurrentControlSet이 아닌 ControlSet001로 가면 컴퓨터 이름을 알 수 있다.
컴퓨터가 사용하던 IP는 netscan 플러그인으로 간단하게 알 수 있다.
PC Name: CTF{WIN-LO6FAF3DTFE}
PC IP: CTF{192.168.202.131}
'CTF > OtterCTF' 카테고리의 다른 글
| OtterCTF WriteUp - Silly Rick Write-up (0) | 2020.04.03 |
|---|---|
| OtterCTF WriteUp - Name Game 2 Write-up (0) | 2020.04.03 |
| OtterCTF WriteUp - Name Game Write-up (0) | 2020.04.03 |
| OtterCTF WriteUp - Play Time Write-up (0) | 2020.04.03 |
| OtterCTF WriteUp - What the password Write-up (0) | 2020.04.03 |