2024第七届西湖论剑初赛WP

easy_rawraw

下载附件，解压见一个 rawraw.raw 文件和 mysecretfile.rar 的压缩包

vol2.py -f rawraw.raw imageinfo

发现是win7镜像

Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
                     AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
                     AS Layer2 : FileAddressSpace (D:\UserData\Desktop\XHLJ\easy_rawraw\rawraw.raw)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf80003e2d120L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff80003e2f000L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2023-12-20 11:26:17 UTC+0000
     Image local date and time : 2023-12-20 19:26:17 +0800

然后看看剪贴板

vol2.py -f rawraw.raw --profile=Win7SP1x64 clipboard

Volatility Foundation Volatility Framework 2.6
Session    WindowStation Format                         Handle Object             Data

         1 WinSta0       CF_UNICODETEXT                0xc0201 0xfffff900c21b0d00 This is the password, ke...t it to obtain the disk
         1 WinSta0       CF_TEXT                  0x5300000000 ------------------
         1 WinSta0       CF_LOCALE                     0x90275 0xfffff900c39f99f0
         1 WinSta0       0x0L                              0x0 ------------------

vol2.py -f rawraw.raw --profile=Win7SP1x64 clipboard -v

Password is DasrIa456sAdmIn987

这个是mysecretfile.rar压缩包的密码

解开根据大小、乱码和前面剪贴板内容的描述显然是vc容器

又通过 vol.py 的 pslist 命令可以看到有 VeraCrypt.exe 进程存在，并且通过 cmdline 也可以看到

vol2.py -f rawraw.raw --profile=Win7SP1x64 pslist

vol2.py -f rawraw.raw --profile=Win7SP1x64 cmdline

由此可以合理猜测 mysecretfile 文件 是被VeraCrypt 加密过的文件

发现需要密钥

通过 filescan 命令筛选 zip 发现 pass.zip

vol2.py -f rawraw.raw --profile=Win7SP1x64 filescan | grep zip

Volatility Foundation Volatility Framework 2.6
0x000000003df8b650     16      0 R--r-- \Device\HarddiskVolume2\Users\Administrator\Documents\pass.zip

提取出来

vol2.py -f rawraw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df8b650 -D ./

解压压缩包发现是一张图片

用010打开，发现尾部有一个zip

提取出来

20240210，可以联想到提示have a good new year就是提示时间

解压后得到pass.txt

使用veracrypt挂载，密码就是上述的pass.txt

使用密钥文件

挂在后可以看到隐藏文件

密码是内存镜像中管理员账号的密码，用mimikatz插件得到，das123admin321

在 9，11 中间发现隐藏行

DASCTF{5476d4c4ade0918c151aa6dcac12d130}