2021年“莲城杯”网络安全大赛-Misc-解密试试

2021年“莲城杯”网络安全大赛-Misc-解密试试

题目名称:解密试试
题目内容:解密试试
题目分值:300.0
题目难度:困难
相关附件:mem的附件.7z

解题思路:

1.raw文件,内存取证题

进入.raw文件所在目录,输入命令判断该文件内存进程

volatility.exe -f mem.raw imageinfo

2021年“莲城杯”网络安全大赛-Misc-解密试试

2.可以得到profile类型WinXPSP2x86,filescan保存一下

2021年“莲城杯”网络安全大赛-Misc-解密试试

volatility.exe -f mem.raw --profile=WinXPSP2x86 filescan >1.txt

2021年“莲城杯”网络安全大赛-Misc-解密试试

3.发现hint.txt

2021年“莲城杯”网络安全大赛-Misc-解密试试

volatility.exe -f mem.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000c350028 - -dump-dir=./

4.提取出来发现提示

2021年“莲城杯”网络安全大赛-Misc-解密试试

5.于是我们获取一下login password

2021年“莲城杯”网络安全大赛-Misc-解密试试

C:\Users\12254\Desktop\Game\莲城杯\Misc\mem>volatility.exe -f mem.raw -- 
profile=WinXPSP2x86 hashdump 
Volatility Foundation Volatility Framework 2.6 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c08 
9c0::: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: 
HelpAssistant:1000:aab9d0e370b6ccc528fecb7cffc71f03:7905e7a5ce0ebab586e31ba1ca4c 
276e::: 
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:e25e1c80ac8f0120f52ed3bad 
45d7501::: 
lll:1003:781b843ac3ebea42b75e0c8d76954a50:d503a8571a79baf9b951884f350ad048:::

6.将d503a8571a79baf9b951884f350ad048拿去md5解码得到passwd1232021年“莲城杯”网络安全大赛-Misc-解密试试

7.结合hint,我们想到

2021年“莲城杯”网络安全大赛-Misc-解密试试
拿到

U2FsdGVkX1+xKj8n1Cx90tRr/McSRA==

8.直接010搜索一下+号之前的文字发现

2021年“莲城杯”网络安全大赛-Misc-解密试试

9.复制解密

2021年“莲城杯”网络安全大赛-Misc-解密试试

10.拿到flag

DASCTF{bad935cc4824223e69162bc68f25275e}

上一篇:Derivatives analytics with python ---- Part 1


下一篇:Volatility