2021年“莲城杯”网络安全大赛-Misc-解密试试
题目名称:解密试试
题目内容:解密试试
题目分值:300.0
题目难度:困难
相关附件:mem的附件.7z
解题思路:
1.raw文件,内存取证题
进入.raw文件所在目录,输入命令判断该文件内存进程
volatility.exe -f mem.raw imageinfo
2.可以得到profile类型WinXPSP2x86,filescan保存一下
volatility.exe -f mem.raw --profile=WinXPSP2x86 filescan >1.txt
3.发现hint.txt
volatility.exe -f mem.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000c350028 - -dump-dir=./
4.提取出来发现提示
5.于是我们获取一下login password
C:\Users\12254\Desktop\Game\莲城杯\Misc\mem>volatility.exe -f mem.raw --
profile=WinXPSP2x86 hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c08
9c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:aab9d0e370b6ccc528fecb7cffc71f03:7905e7a5ce0ebab586e31ba1ca4c
276e:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:e25e1c80ac8f0120f52ed3bad
45d7501:::
lll:1003:781b843ac3ebea42b75e0c8d76954a50:d503a8571a79baf9b951884f350ad048:::
6.将d503a8571a79baf9b951884f350ad048拿去md5解码得到passwd123
7.结合hint,我们想到
拿到
U2FsdGVkX1+xKj8n1Cx90tRr/McSRA==
8.直接010搜索一下+号之前的文字发现
9.复制解密
10.拿到flag
DASCTF{bad935cc4824223e69162bc68f25275e}