ez_forenisc
题目
名字应该错了 应该是ez_forensic
一个vmdk 一个raw
硬盘镜像 和 内存镜像
过程
vmdk被BitLocker加密 有内存镜像就好办了
Elcomsoft Forensic Disk Decryptor 恢复出来恢复密钥
Passware Kit 貌似不支持vmdk 懒得转换格式
硬盘里有 一个fake flag 一个png
png撇zsteg 发现lsb隐写 用StegSolve解出来
zip文件 有密码 提示是Windows用户密码
尝试用volatility提取密码hash somd5解密 解不出来
使用Passware Kit解出Windows密码
得到key文件 发现是8进制(我眼瞎没看出来错失三血 ciphey也能一把梭
有密钥也应该有密文 开找密文
volatility分析内存 常规分析 桌面 剪切板 cmd notepad
发现剪切板和cmd提示查看截图
查看截图发现有个thes3cret文件
dump出来 发现base64字符串 解密后发现Salted__字样(加盐了
考虑常规加密 aes des 3des 发现是aes
使用在线工具解密 (cyberchef不好使 应该是aes算法问题
aes_ecb key已经拿到 解密即可得到flag
总结
赛后复现+拖了一天 就没截图 记忆复现了属于是
ciphey很方便 自己找安装方法
之前ciscn就有一个最后一步能用ciphey梭出来
亏死了!!!(当然也是自己见识短
关于aes问题
八神说用的是openssl的aes加密算法
(八神又双叒叕凶我 呜呜呜
有时间翻一下源码看看
套得很爽 考得点在大方向上还是挺全的