🤔强网杯2021-CipherMan🤔

题目信息

 攻击者恶意访问用户的PC并加密特定卷。如何解密卷? 由于题目太大,只能通过链接下载。  题目下载 提取码GAME 压缩包解压密码:fantasicqwb2021 (自有链接,永久有效)

 关于此题

这个题还是十分简单的,但是就是有点坑人,比赛的时候半个小时就解出来了吧,但是最后磁盘里有很多类似flag的东西,始终找不到正确的flag,最后队友把最长的那一串字符提交了,竟然正确了???,我麻了,赛后复现一下吧。(我的复现原则就是让大家都能看得懂,尽可能的细化步骤,如果大家有哪里不懂的地方可以留言问我)

开始解题

1、首先使用volatility查看镜像的系统信息,得到版本是Win7SP1x86_23418。

./volatility -f /home/wd/桌面/memory imageinfo 

2、搜索桌面,发现有bitlocker的恢复密码标识

./volatility -f /home/wd/桌面/memory --profile=Win7SP1x86_23418 filescan |grep "Desktop"

3、将这个文件导出。

./volatility -f /home/wd/桌面/memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D /home/wd/桌面

4、将文件下载到Windows查看(直接cat会乱码),使用notepad++打开,翻译。

5、使用DisGenius打开Secret文件,点击磁盘->打开虚拟磁盘文件,选择Secret文件。

6、将之前得到的秘钥输入,解密成功。

7、根目录下的README.txt文件里就是flag。

Flag

Wow, you have a great ability. How did you solve this? Are you a hacker? Please give me a lesson later.

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注