[蓝帽杯 2022 初赛]计算机取证 wp
|
安全相关,靶场复现
|
6,688

1265 字
|
6 分钟

[蓝帽杯 2022 初赛]计算机取证 wp

第一句话:此wp没有用取证大师!
(怨念)

使用到的工具

volatility (mimikatz插件)

Arsenal-Image-Mounter

Passware Kit Forensic

EFDD

ARCHPR(可用Passware Kit Forensic替代)

准备工作

下载附件,笔者在这里选择了NSSCTF平台: 赛题下载 | NSSCTF

然后解压缩,效验md5值。在windows系统下,可以在命令行里使用自带工具效验md5值。

certutil -hashfile {filepath} {ways}
#此题
certutil -hashfile .\1.dmp md5
certutil -hashfile .\G.E01 md5

显然1.dmp是个内存镜像,G.E01是个磁盘镜像

题目汇总

现对一个windows计算机进行取证,请您对以下问题进行分析解答:

  1. 从内存镜像中获得taqi7的开机密码是多少?
  2. 制作该内存镜像的进程Pid号是多少?
  3. bitlokcer分区某office文件中存在的flag值为?
  4. TrueCrypt加密中存在的flag值为?

从内存镜像中获得taqi7的开机密码是多少?

volatility​,第一步imageinfo​一下


该镜像最可能是Win7SP1x64​版本,上mimikatz​直接获取开机密码。

注意volatility​使用mimikatz​这种非自带插件的时候,可能需要cd到安装目录下,用python2 vol.py​启动,才能识别这些插件。

答案出来了flag{anxinqi}

制作该内存镜像的进程Pid号是多少?

pslist​一下,看看进程


一眼MagnetRAMCaptu​,虽然不道这素什么,但是RAM​,很有可能就是用来制作进程的嗷。搜一下看看这是什么

果然是你嗷。答案出来了flag{2192}

另外标出来的TrueCrypty​是第四问用的,毕竟人家题目都告诉你TrueCrypt​加密啦。

bitlokcer分区某office文件中存在的flag值为?

掏出新工具Arsenal-Image-Mounter​挂载磁盘

File->Mount disk image file..​选中你的G.E01​文件。之后弹出来的界面不用调整,直接ok就行

挂载好了就会发现电脑里多出来了一个盘。

新磁盘上面有把锁,需要密码才能开,咱们搞密码去。诶也不对,应该是搞恢复密钥去。

掏出新工具Passware Kit Forensic​。把G.E01​直接拖进去

会自动跳转到此界面

咱不要这个,因为我们有内存镜像捏。点一下旁边的I have a memory image​,按图配置一下你的内存镜像路径

然后点击右下角绿绿的下一步,开始解密了。别急,有点难等素正常的(我急)

OK成功了,我们需要的是Recovery Key​,即恢复密钥。复制下来

点开咱们挂载的盘,会弹出一个框框。咱们拿到的是密钥不是密码嗷。所以点击 **更多选项->输入恢复密钥。


解锁啦!点开发现里面有四个文档。

想直接打开,点一下,结果发现两个office​文档都需要密码。pass.txt​点开一看,字典。嗷,需要咱们爆破啊。那还是用Passware Kit Forensic

Passware Kit Forensic​添加字典的地方在Tools->Dictionary Manager

点进去之后,在ADD DICTIONARY->Compile from file...​里添加字典。

选中pass.txt​路径之后,一路下一步,不用调整。搞定之后最底下会出现pass.txt​文件

回到主页,把两个office​文件拖进来,然后设置一下

ADD ATTACK​之后,把咱们的字典攻击拖到最前面

然后保存SAVE ATTACK SETTING​。跳转回去之后,点RECOVER​,开始恢复

很快啊,啪的一下就跑出来了

然后分别打开看看。只读模式就ok啦。最后在ppt里找到了flag

答案出来了flag{b27867b66866866686866883bb43536}

TrueCrypt加密中存在的flag值为?

最后一题了,冲。

回忆一下,咱解锁完磁盘之后,是不是还有一个新建文档没用。没错介个就是咱们的加密容器。

先用volatilitydump​一下TrueCrypt.exe​,后面要用到

抬出新工具EFDD​。几页设置如下。

上面是加密容器路径,下面是dump​下来的加密工具进程路径。

如果解密失败,就重新dump​​一下3496​​进程,再重复一遍上述步骤。

如果解密成功

点下一页,保存文件随便命名反正不重要,我就叫123了

然后选择挂载磁盘

不出意外的话,当当当!又出现一个新磁盘


发现这玩意儿又有密码,害。

行吧,抬出新工具ARCHPR​。其实用Passware Kit Forensic​也可以。

这玩意全是中文特简单。设置是:暴力破解/所有数字/1-8位长度。我就直接上解密成功的图了。

拿到密码991314​。解开压缩包看到flag

答案出来了flag{1349934913913991394cacacacacacc}​​

writeup学习笔记网络安全
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇