2020网鼎杯白虎组密码柜WP

完全复刻自题解。仅仅是照着流程实现了一遍。

0x01 内存取证

题解:取证大师一把梭

于是,先去找取证大师

微信客服试图套到白嫖软件,非常失败

于是去cloud盘精灵,花钱买了100个豆,找到了这个取证大师的试用版

然后坑点来了:这个玩意会写入注册表,让人在90天后无法白嫖,只能用个本地时间锁来卡住激活(如果一开始意识到这件事的话就可以用Revo来监测注册表从而实现每次使用后完全删除,一直保持住试用期)

ok,这第一步的大坑讲完了,现在我们来一把梭

image.png

添加案例,磁盘选择这个vmem,然后选数据恢复,选这个文件,在左边的过滤搜密码,即可得到右边的答案,双击即可打开

得到密码6s4mxkhvge

0x02 Keepass破解

image.png

下载Keepass,输入主密钥6s4mxkhvge得到一个main_key,是XLlArBkn

于是我们接着做题,注意到回收站有个kgb_key,提示我们有个软件叫KGB_Archiver

image.png

那么我们下载并安装,然后点击Keepass上面的Entry,里面有个保存additional file,取出kge。

然后我们接着复现:双击打开,输入密码,然后我们点next解压这个压缩包;

image.png

0x03 BitLocker解密

找到题解中的那个软件,我们下载然后解密。不过取证大师好像也能干这事,先不管了。

我们先装载这个vhdx文件,然后提示BitLocker加密。

image.png

image.png

image.png

image.png

image.png

image.png

我们得到了key!

1
294173-189123-573023-455081-459382-434610-344091-286275

然后我们来解密:

image.png

image.png

0x04 透明图片

自解压改名,flag.png

然而双击看不出来flag,应该是透明的

image.png

得到我们的flag

1
flag{700cf8df-0444-46a4-afd2-22dcce208a67}

0x05 感想

image.png

取证大师太难找了


2020网鼎杯白虎组密码柜WP
http://hexo.init-new-world.com/2020-wang-ding-bei-bai-hu-zu-mi-ma-gui-WP
Author
John Doe
Posted on
May 17, 2020
Licensed under