010editor或者binwalk -e filename 分离文件出一个zip包。
暴力破解zip包。
修改png的高度。。
扫码。
0x2 密码柜
内存取证
方法1
volatility -f memeories.vmem imageinfo
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win10x86_14393, Win10x86_15063, Win10x86_17134, Win10x86_16299 (Instantiated with Win10x86_15063)
Profile是 Win10x86_15063
volatility -f memeories.vmem --profile=Win10x86_15063 clipboard
方法2-推荐
用rstudio打开镜像, 菜单: 驱动器-扫描, 双击打开recognized0
进入 Ctrl+F查找 ,左侧选文件,根据提示搜索 *密码柜* 来到root-user-hp-desktop,
找到密码柜备份.txt
下一步
打开看到密码。6s4mxkhvge。。用keepass打开Database.kdbx,输入密码。
找到 kgb_key 和它的附件something.kge。以及 kgb’s 解压密码 XLlArBkn
用KGB Archiver 解压它 main.vhdx。
挂载发现bitlocker加密。 想办法从 memeories.vmem 找密钥。
使用Elcomsoft.Forensic.Disk.Decryptor => Extrack keys => memeories.vmem 。进行提取,得到密钥
再用刚刚导出的密钥对BitLocker硬盘进行解密。 然后就可以得到BitLocker的恢复密钥 294173-189123-573023-455081-459382-434610-344091-286275
挂载上main.vhdx。
# cmd下命令
manage-bde -unlock G: -RecoveryPassword 294173-189123-573023-455081-459382-434610-344091-286275
解密后打开G盘,有个flag。解压出来个aux。是windows保留字。打不开。 重新解压。改个名。
用winhex一看是png。改成123.png。直接打开显示出flag
other: 带aux的目录这样删除 rd /s \\.\f:\Fshare\del1\vmware\x1\aux
参考
网鼎杯2020白虎组misc-hidden,密码柜,boot W
网鼎杯2020白虎组web-picdown,张三的网站,starbucket WP
网鼎杯2020白虎组Reverse-py,恶龙,幸运的数字 WP
网鼎杯2020白虎组Reverse-py,恶龙,幸运的数字 WP
2020网鼎杯 青龙组 Android逆向题 rev01 WP