Misc ez_forensics
Passware KIT Forensic内存镜像分析得到flag前一半
取证大师打开后发现没有任何文件怀疑文件被格式化,对镜像进行文件恢复
再次进行自动取证
看到有个readme.txt文件,打开后
提示是明文攻击,想到zip明文攻击,发现有一个zip文件(table.zip)
但提示非压缩文件(可能是损坏了)
再尝试用vol恢复,把输出仿真出来搜索table.zip得到该文件的内存地址,再通过内存地址将文件导出到本地
用winrar打开
明文攻击的条件是CRC值相等
发现:镜像中readme.txt的CRC32值与压缩包的不同
查看 编辑器软件信息 This is the table to get the key (将readme。txt改为这个)
再比对CRC32相同(zip明文攻击)
ARCHPR跑了半个小时没跑出来果断放弃
Kali下载bkcrack
Kali下载bkcrack
wget https://github.com/kimci86/bkcrack/releases/download/v1.3.1/bkcrack-1.3.1-Linux.tar.gz
tar -zxvf bkcrack-1.3.1-Linux.tar.gz
cp bkcrack-1.3.1-Linux/bkcrack /usr/sbin/bkcrack
bkcrack -h
改密
打开table
取证大师快捷方式解析里面有个key.rsmr的快捷方式(导出源文件提示大小为0无法导出)
查看ie记录也发现了该文件,那说明这个文件可能是有用的
再次使用vol导出,找到该文件内存地址,导出
Rsmr文件是mouse recorder生成的鼠标移动轨迹记录
新建一个图像文件记录鼠标轨迹
根据table得出密码
a91e37bf
但不知道这个密码有什么用,继续利用vol寻找信息
看到设置了secret环境变量(但是没有显示变量值)
使用envars参数查看环境变量值并没有找到secret
翻阅了vol的所用参数,发现还有一个可以查看命令行记录的参数
找到了secret环境变量的值
U2FsdGVkX19dHyROKCNrT5BAJk9asDpaZ8L45vr9s9D2Yi9/OX5Xl6lEmhd0VoietsmeiLHJjPPG0uSsdxGgr2jzQ00FEMf/VglaSrhwumM=
明显AES加密前面获取的是key值