点击此处获得更好的阅读体验
WriteUp来源
题目考点
- 内存取证
解题思路
内存取证,直接上volatility
volatility -f mem.dump imageinfo
看进程
volatility -f mem.dump --profile=Win7SP1x64 pslist
看cmd历史
volatility -f mem.dump --profile=Win7SP1x64 cmdscan
得到 flag.ccx_password_is_same_with_Administrator
从桌面导出文件flag.ccx
volatility -f mem.dump --profile=Win7SP1x64 dumpfiles -Q 0x000000003e435890 -D ./
hashdump得到Administrator的哈希
volatility -f mem.dump --profile=Win7SP1x64 hashdump
得到
Administrator:500:6377a2fdb0151e35b75e0c8d76954a50:0d546438b1f4c396753b4fc8c8565d5b:::
cmd5解密得到ABCabc123
然后在进程中或者桌面看到有一个Cncrypt的应用,百度下载该应用然后用ABCabc123解密挂载,得到flag
Flag
1 | flag{now_you_see_my_secret} |