陇剑杯-内存分析wp

6 内存分析

题目描述

网管小王制作了一个虚拟机文件，让您来分析后作答：

6.1

虚拟机的密码是_____。（密码中为flag{xxxx}，含有空格，提交时不要去掉）

解：

使用volatility加载mimikatz插件直接读密码

下载mimikatz插件

wget https://raw.githubusercontent.com/RealityNet/hotoloti/master/volatility/mimikatz.py

将mimikatz插件复制到volatility的插件目录

cp mimikatz.py /usr/lib/python2.7/dist-packages/volatility/plugins/

获取登录密码

# 查看镜像信息
volatility -f Target.vmem imageinfo
# 使用mimikatz跑密码
volatility -f Target.vmem --profile=Win7SP1x64 mimikatz

或者不用mimikatz

volatility -f Target.vmem --profile=Win7SP1x64 lsadump

flag

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

6.2

虚拟机中有一个某品牌手机的备份文件，文件里的图片里的字符串为_____。（解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx}，含有空格，提交时不要去掉）

解：

filescan扫描文件

volatility -f Target.vmem --profile=Win7SP1x64 filescan

在CTF用户的桌面发现手机的备份文件

0x000000007fe72430     2     0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images\images0.tar.enc

将文件提取出来

volatility -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 -D /root/桌面/dmp/

由于华为手机助手加密的文件解密时需要依赖整个文件夹中的文件，只有一个images0.tar.enc是不行的。

我找到了另一个文件

0x000000007d8c7d10     4     0 R--r-d \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe

提取出来的文件是符合需求的

使用360压缩工具查看file.None.0xfffffa80037e0af0.dat文件，里面就是我们需要的内容

解密工具

https://github.com/RealityNet/kobackupdec

工具一把梭，解密的密码按照前面txt提示把flag内容空格换成下划线，后面写文件夹的路径，再后面写导出文件的路径，导出文件的路径要写一个新的backup，工具会自动创建新的backup目录 将文件放进里面

python kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "D:\file\work\2\HUAWEI P40_2021-aa-bb xx.yy.zz" D:\file\work\2\r\backup

执行完毕，文件已经创建了

images0.tar.enc变成了images0.tar

解压获取图片

flag

flag{TH4NK Y0U FOR DECRYPTING MY DATA}