macOS-Keychain

Statement

You’ve been tracking a terrorist for months but he just ran away!
Before fleeing he destroyed his laptop, probably to throw the investigators off his tail. We’re in a bit of luck though because it looks like the hard drive still works!
We need access to his Gmail account to find his next location.
The flag is the SHA256 hash of the concatenation of the macOS session’s password and the Gmail account password: flag = sha256(session_password + gmail_password).
The image’s SHA256 hash is: 2e98f133c5b43d5a68bfce22f2d2dbb03e0e97e07938905e16a81701d5891284
여기 있는 툴을 사용하면 login.keychain-db 파일을 복호화 할수 있나보다.
Keychain-Dumper
ptoomey3
https://blog.system32.kr/68여기 좀 읽어서 참고해보자
위에서 찾은 세션 패스워드를 입력으로 넣어줘야지 잘 복구가 된다
경로는 /Users/t3rro0r1st3/Library/Keychains/login.keychain-db 이다.
구해야 하는 것 : mac OS session password, Gmail password
Session PW : f0r3ns1ccl4v13
result.txt
23.7KB
이제 위에 결과 파일에서 gmail에 해당하는 비밀번호도 복구할 수 있다.
gmail password : ihateapple89