2024第七届西湖论剑初赛WP

easy_rawraw

下载附件,解压见一个 rawraw.raw 文件和 mysecretfile.rar 的压缩包

1
vol2.py -f rawraw.raw imageinfo

发现是win7镜像

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_23418
AS Layer1 : WindowsAMD64PagedMemory (Kernel AS)
AS Layer2 : FileAddressSpace (D:\UserData\Desktop\XHLJ\easy_rawraw\rawraw.raw)
PAE type : No PAE
DTB : 0x187000L
KDBG : 0xf80003e2d120L
Number of Processors : 1
Image Type (Service Pack) : 1
KPCR for CPU 0 : 0xfffff80003e2f000L
KUSER_SHARED_DATA : 0xfffff78000000000L
Image date and time : 2023-12-20 11:26:17 UTC+0000
Image local date and time : 2023-12-20 19:26:17 +0800

然后看看剪贴板

1
vol2.py -f rawraw.raw --profile=Win7SP1x64 clipboard
1
2
3
4
5
6
7
8
Volatility Foundation Volatility Framework 2.6
Session WindowStation Format Handle Object Data

1 WinSta0 CF_UNICODETEXT 0xc0201 0xfffff900c21b0d00 This is the password, ke...t it to obtain the disk
1 WinSta0 CF_TEXT 0x5300000000 ------------------
1 WinSta0 CF_LOCALE 0x90275 0xfffff900c39f99f0
1 WinSta0 0x0L 0x0 ------------------

1
vol2.py -f rawraw.raw --profile=Win7SP1x64 clipboard -v

image-20240322193536400

Password is DasrIa456sAdmIn987

这个是mysecretfile.rar压缩包的密码

解开根据大小、乱码和前面剪贴板内容的描述显然是vc容器

又通过 vol.py 的 pslist 命令可以看到有 VeraCrypt.exe 进程存在,并且通过 cmdline 也可以看到

1
vol2.py -f rawraw.raw --profile=Win7SP1x64 pslist

image-20240323000417170

1
vol2.py -f rawraw.raw --profile=Win7SP1x64 cmdline

image-20240323000526699

由此可以合理猜测 mysecretfile 文件 是被VeraCrypt 加密过的文件

发现需要密钥

通过 filescan 命令筛选 zip 发现 pass.zip

1
vol2.py -f rawraw.raw --profile=Win7SP1x64 filescan | grep zip
1
2
Volatility Foundation Volatility Framework 2.6
0x000000003df8b650 16 0 R--r-- \Device\HarddiskVolume2\Users\Administrator\Documents\pass.zip

提取出来

1
vol2.py -f rawraw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df8b650 -D ./

解压压缩包发现是一张图片

用010打开,发现尾部有一个zip

image-20240322194239111

提取出来

image-20240322233445119

20240210,可以联想到提示have a good new year就是提示时间

image-20240322233637616

解压后得到pass.txt

image-20240322233745728

使用veracrypt挂载,密码就是上述的pass.txt

image-20240322234021788

使用密钥文件

挂在后可以看到隐藏文件

image-20240322234051122

密码是内存镜像中管理员账号的密码,用mimikatz插件得到,das123admin321

image-20240322234318867

image-20240322234556712

在 9,11 中间发现隐藏行

image-20240322234624188

DASCTF{5476d4c4ade0918c151aa6dcac12d130}