search

Ringbearer

Flag: HACKDAY{TH4nk_Y0u_s4M_G4mg3e}

hashtag
Challenge

file-archive
31MB
Ringbearer.zip
archive
arrow-up-right-from-squareOuvrir
circle-info

Description

You are the ringbearer, you carry a burden that must never fall into the wrong hands. Many who once walked beside you are no longer found in the present records. Yet one faithful companion never left your side. What remains beside the Ringbearer may hold the key to secrets long forgotten. The one who never left the Ringbearer's side is the user that we searching for , can you find him ?

hashtag
Solution

Voici les fichiers que contient l'archive :

$ unzip -l Ringbearer.zip
Archive:  Ringbearer.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
        0  2026-01-18 14:11   Ringbearer/
        0  2026-01-21 12:14   Ringbearer/Desktop/
       65  2026-01-19 14:36   Ringbearer/Desktop/7zPasswordFormat.txt
        0  2026-01-18 14:31   Ringbearer/Documents/
        0  2026-01-21 14:45   Ringbearer/Documents/old/
 12558336  2026-01-18 05:01   Ringbearer/Documents/old/317f1e761f2faa8da781a4762b9dcc2c5cad209a.bak
    32768  2026-01-18 05:01   Ringbearer/Documents/old/8eec7bc461808e0b8a28783d0bec1a3a22eb0821.bak
 70983680  2026-01-18 05:01   Ringbearer/Documents/old/c981d125d1a564c9f5738faff51d59d98711f145.bak
    65536  2026-01-18 05:01   Ringbearer/Documents/old/f16bed56189e249fe4ca8ed10a1ecae60e8ceac0.bak
      186  2026-01-19 05:42   Ringbearer/Documents/old/f873f39163f5b43dbf1fee63cbce284074896221.bak
        0  2026-01-21 13:54   Ringbearer/Downloads/
      250  2026-01-21 13:54   Ringbearer/Downloads/Invitation.7z
       22  2026-01-19 05:41   Ringbearer/Downloads/notes.txt
        0  2026-01-19 05:43   Ringbearer/System32/
        0  2026-01-19 05:43   Ringbearer/System32/driver
    57344  2026-01-18 04:55   Ringbearer/System32/sam
    32768  2026-01-18 04:54   Ringbearer/System32/security
 70983680  2026-01-18 04:55   Ringbearer/System32/software
 12558336  2026-01-18 04:55   Ringbearer/System32/system
---------                     -------
167272971                     19 files

Les fichiers texte contiennent :

On apprend que le mot de passe des 7z c'est <username>@<password>. Et ça tombien bien car il y a du SAM et SYSTEM, on commence par dump tout ça :

On cherche ces hash sur hashes.comarrow-up-right :

En les testant tous sur Ringbearer/Downloads/Invitation.7z, on trouve que guest@youareinvited fonctionne :

On cherche donc l'utilisateur Sam !

Les fichiers dans olds sont des registres windows aussi, donc probablement ancienne base SAM et SYSTEM. Il y a également un 7z chiffré.

On peut identifier quels fichiers sont le SAM et le SYSTEM avec un ptit script généré par LLM :

Donc :

  • SAM = Ringbearer/Documents/old/f16bed56189e249fe4ca8ed10a1ecae60e8ceac0.bak

  • SYSTEM = Ringbearer/Documents/old/317f1e761f2faa8da781a4762b9dcc2c5cad209a.bak

Maintenant il faut dump la backup de la même manière que tout à l'heure :

Bingo, y a un samwiseg ! On casse son hash pour trouver son mot de passe et ourvrir le 7z dans old avec :

PrécédentForensicSuivantY2K patch

Mis à jour