前言
题目地址:Bugku-简单取证1
这题不难,目的大概就是想让我们知道怎么从 windows 的系统配置文件提取出账号密码
工具
下面的是我做这题所用的工具
官方地址:https://github.com/ParrotSec/mimikatz
蓝奏云(2.2版本,自用):https://fictory.lanzouo.com/inMs1xk1pwb
开始做题
-
下载附件后解压,发现是一个 config 文件夹,该文件夹是存放 windows 用户名和明文密码等主要配置文件的,一般位于 windows 的 system32 文件夹中
-
下载好工具,以管理员身份打开 mimiikatz.exe
-
切换到解压后的配置文件 config 所在文件夹
-
输入命令 lsadump::sam /sam:SAM /system:SYSTEM 读取该该配置文件中储存的用户名和密码
-
往下拉可以看到用户名和密码已经提取出来了
复制密码的 hash 值,放到 https://www.objectif-securite.ch/ophcrack 里破解,得到密码为 forensics
-
最终得到 flag
flag{administrator-QQAAzz_forensics}
拓展
关于 mimikatz 的多种用法
推荐:windows抓取用户密码
推荐 :Mimikatz使用大全
其他用法可自行查阅