2024第七届西湖论剑初赛WP
2024第七届西湖论剑初赛WP
hihopkceasy_rawraw
下载附件,解压见一个 rawraw.raw 文件和 mysecretfile.rar 的压缩包
1 | vol2.py -f rawraw.raw imageinfo |
发现是win7镜像
1 | Volatility Foundation Volatility Framework 2.6 |
然后看看剪贴板
1 | vol2.py -f rawraw.raw --profile=Win7SP1x64 clipboard |
1 | Volatility Foundation Volatility Framework 2.6 |
1 | vol2.py -f rawraw.raw --profile=Win7SP1x64 clipboard -v |
Password is DasrIa456sAdmIn987
这个是mysecretfile.rar压缩包的密码
解开根据大小、乱码和前面剪贴板内容的描述显然是vc容器
又通过 vol.py 的 pslist 命令可以看到有 VeraCrypt.exe 进程存在,并且通过 cmdline 也可以看到
1 | vol2.py -f rawraw.raw --profile=Win7SP1x64 pslist |
1 | vol2.py -f rawraw.raw --profile=Win7SP1x64 cmdline |
由此可以合理猜测 mysecretfile 文件 是被VeraCrypt 加密过的文件
发现需要密钥
通过 filescan 命令筛选 zip 发现 pass.zip
1 | vol2.py -f rawraw.raw --profile=Win7SP1x64 filescan | grep zip |
1 | Volatility Foundation Volatility Framework 2.6 |
提取出来
1 | vol2.py -f rawraw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df8b650 -D ./ |
解压压缩包发现是一张图片
用010打开,发现尾部有一个zip
提取出来
20240210,可以联想到提示have a good new year就是提示时间
解压后得到pass.txt
使用veracrypt挂载,密码就是上述的pass.txt
使用密钥文件
挂在后可以看到隐藏文件
密码是内存镜像中管理员账号的密码,用mimikatz插件得到,das123admin321
在 9,11 中间发现隐藏行
DASCTF{5476d4c4ade0918c151aa6dcac12d130}
评论
匿名评论隐私政策
✅ 你无需删除空行,直接评论以获取最佳展示效果