背景描述:一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑也不管自己在电脑上留下的操作急忙离开电脑,故作淡定的说:“我就是随便看看”。
1.小黑写的啥,据说是flag?
2.那么问题来了,小白的密码是啥?
3.小黑发送的机密文件里面到底是什么
题目地址:内存取证三项
0x01 imageinfo 获取镜像信息
vol.py -f flag.raw imageinfo

通过结果发现,系统是WinXPSP2x86版本。一般我们只看第一个就行
0x02 pslist 获取进程列表
vol.py -f flag.raw --profile=WinXPSP2x86 pslist

通过进程列表我们发现几个可疑的进程。
第一问:小黑写的是啥?据说是flag
notepad.exe(Windows的记事本),cmd.exe(Windows的命令行),nc.exe(连接工具)。这是不用注意DumpIt.exe它是一个镜像打包工具
0x03 notepad 查看记事本内容
vol.py -f flag.raw --profile=WinXPSP2x86 notepad
windowsXP系统使用插件notepad。win7以上使用editbox查看记事本内容

发现写了666C61677B57336C6563306D655F376F5F466F72336E356963737D
暂时不知道有什么用
0x04 cmdscan查看命令行的操作
vol.py -f flag.raw --profile=WinXPSP2x86 cmdscan

发现它使用nc工具共享了一个压缩包。
0x05 filescan 查找文件
vol.py -f flag.raw --profile=WinXPSP2x86 filescan |grep "P@ssW0rd_is_y0ur_bir7hd4y.zip"

根据文件名提示。它说密码是你的生日。例如你的生日是2004年07月07日。那么它就是20040707是一个八位纯数字
0x06 dumpfiles 保存文件
vol.py -f flag.raw --profile=WinXPSP2x86 dumpfiles -Q 虚拟地址 -D 保存的路径
vol.py -f flag.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 -D ./

将保存出来的文件file.None.0xff6d3410.dat重命名为P@ssW0rd_is_y0ur_bir7hd4y.zip
尝试解压文件。发现需要密码,根据文件名提示。我们尝试生成一个该特征的密码字典

0x07 破解字典密码
使用工具ARCHPR设置攻击类型为掩码。将掩码位置设置8个????????。之后在暴力破解范围选项中勾选0-9位数字,因为生日密码一般都是一个8位纯数字。我们点击开始

之后密码被成功破解出来了,密码是19950101

成功获得flag:flag{Thi5_Is_s3cr3t!}
本文作者为blog,转载请注明。