西湖论剑-easy_rawraw
西湖论剑-easy_rawraw
感谢巨魔✌的github仓库 orz https://github.com/CTF-Archives/2023-xhlj?tab=readme-ov-file
刚好最近在学习电子取证,觉得挺有意思的,就打算每天做一些有意思的题目来巩固一下qwq,是以学习的目的而进行的,就写尽量详细一点了。
那么,开始解题。
一开始拿到题目,有两个附件一个是raw文件,一个是加密的zip文件(2.raw是个人习惯改的名字),以及题目中的题干“easy raw! many passwords!”这题应该就是从password入手了。

将2.raw放进volatility分析,得到了Volatility 推荐的几个内存镜像分析配置文件(Suggested Profile(s) 显示的内容)
python2 vol.py -f 2.raw imageinfo #f:指定分析的内存镜像文件名

用常规步骤慢慢找了cmd指令以及正在运行的指令没有发现,于是就在查找内存中的文件时检测了pass的字样有了发现
python2 vol.py -f 2.raw --profile=Win7SP1x64 filescan | grep pass

将该文件提取出来。
python2 vol.py -f 2.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df8b650 -D ./

提取出来后拉到桌面来解决,并将文件改名为1.zip,解压完是一张图片,打开没什么有用的东西,于是用010打开来看,拉到最后发现有个zip,里面有个pass.txt

于是就用binwalk(kali自带)来进行解开
binwalk -e pass.png

发现解开里面的zip需要密码,有一个“Have a good New Year!!!!!!!”的提示语,就试了一下是不是2024年的新年日期20240210,发现还真是,有点蚌埠住。

解密得一个pass.txt(密码1),先放着不管它。
解到这就已经有些没思路了,于是就回到取证文件去看看,在mimikatz里得到一个password:das123admin321(密码2)
python2 vol.py -f 2.raw --profile=Win7SP1x64 mimikatz

然后在粘贴板里也发现了一个password:DasrIa456sAdmIn987(密码3)
python2 vol.py -f 2.raw --profile=Win7SP1x64 clipboard -v # -v 才可以全部显示

有了这么3个密码,那么其中该怎么用呢。首先,密码3是用来解开一开始的加密rar文件的密码,解开得到一个
另外两个密码到底是该干嘛用的一下子就不知道如何解决了,也不清楚rar中解开的文件是有何用,回到raw文件中读取文件,发现一个有意思的东西,所以感觉rar解密得到的是一个vc容器,也是下载了veracrypt来运用了一下
最后,就用veracrypt读取rar中解出后就用密码2解开xlsx就直接再xlsx里搜索flag就能得到flag:DASCTF{5476d4c4ade0918c151aa6dcac12d130}