Test

#About

We have dumped the RAM of a Machine on which was running a VNC server.

The goal is to get the password of that VNC server

#Solution

[그림 1] - 문제 파일 확인

문제로부터 512MB의 메모리 덤프 파일을 확보했으며, 먼저 아래와 같이 운영체제 정보를 알아보았다

[그림 2] - 운영체제 정보 확인

문제에서 요구하는 사항은 VNC Server의 password이며 이는 VNC Server와 통신하는 프로세스가 있을 거라 생각하여 프로세스 목록을 확인해보았다

[그림 3] - 프로세스 목록 확인

프로세스 확인 결과, PID 1696의 winvnc4.exe라는 이름의 프로세스가 메모리에 상주하고 있었고 문제에서 요구하는 

password는 메모리 어딘가의 파일 또는 레지스트리에 저장되어 있을거기에 먼저 레지스트리를 확인해보았다

[그림 4] - 레지스트리 하이브 목록 확인

여러개의 레지스트리 하이브 파일을 확인할 수 있었으며, winvnc4.exe는 소프트웨어에 해당하기에 아래와 같이 software의 하위 키를 확인해보았다

[그림 5] - software의 하위 키 확인

확인 결과, 예상했던 대로 VCN과 관련 있어보이는 RealVNC라는 하위 키를 확인할 수 있었고 아래와 같이 하위키를 따라가보았다

[그림 6] - WinVNC4 값 확인

값을 확인해보면 da 6e 31 84 95 77 ad 6b로 이루어져 있고 이는 현재 암호화가 된 상태이기 때문에 

아래에서 확인할 수 있듯 VNCpwdump.exe를 이용하면 키 값을 복호화 할 수 있음

[그림 7] - VNCPwdump Info