附件下载与题目环境
domainhacker
流量包放进wireshark分析,追踪tcp流一眼蚁剑
流15还有个压缩包,直接导出
蚁剑流量可以直接看最后加密的base64编码,其中前两位是用于混淆的字符
逐个分析可以发现在13流中进行了 压缩包和密码的写入
使用密码"SecretsPassw0rds"打开压缩包得到1.txt内容是mimikatz的读取结果
题目要求找到机器的hash
416f89c3a5deb1d398a1a1fce93862a7
domainhacker2
开始的步骤和上一题一眼,也是分析蚁剑流量得到压缩包及其密码
流30流量好像没抓好,压缩包提取不出来,所以附件中直接给了压缩包
照例去看流量尾部的base64编码,在流27中找到压缩包密码
打开压缩包后得到一些不认识的文件,根据题目描述是域控文件
这里直接使用工具
先setup然后把三个文件移入expend文件夹中
python .\secretsdump.py -ntds .\ntds.dit -system .\SYSTEM -security .\SECURITY -history LOCAL
找到administrator的历史登录密码
07ab403ab740c1540c378b0f5aaa4087
计算机取证_1
题目描述:
现对一个windows计算机进行取证,请您对以下问题进行分析解答。
从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123)
这个简单vol秒了
照例imageinfo查看操作系统版本
lsadump未果
hashdump得到md5值
somd5.com解密
计算机取证_2
题目描述:
制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)
一样vol秒了 pslist 但是要认识MAGNET工具
计算机取证_3
题目描述:
bitlokcer分区某office文件中存在的flag值为?(答案参考格式:flag{abcABC123})
这题用到了Passware工具,需要自己找绿色版
用取证大师或MAGNET分析G.E01文件会显示被bitlocker加密
打开passware使用全盘解密的bitlocker解密功能,利用 bmp解密
可以获取到一个dd后缀的解密后文件
取证大师分析.dd文件,可以看到几个被加密文件以及pass.txt
MAGNET AXIOM也可以读到
把文件导出之后,连个office文件都经过加密,猜测pass.txt为字典,字典爆破
passware导入pass.txt作为字典
爆破得到密码
只读打开就够了,获得flag
word文档也可以按此方法打开,但是没有什么信息
计算机取证_4
题目描述:
TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
如果用取证大师可以直接看到 新建文本文档.txt是TrueCrypt加密
如果没有取证大师,把文件提出来之后打开也能发现不对劲,文件体积太大了
挂载发现确实是TureCrypt加密文件
理论上用passware可以直接解开TrueCrypt,但是写WP的时候复现失败了
只能拿到密钥,不知道怎么解开
还可以用取证大师的内存分析工具直接获取TrueCrypt的密钥文件
导出后使用密钥解密
得到加密的 哈哈哈.zip
用passware或ARCHPER暴力破解得到flag
手机取证_1
题目描述:
现对一个苹果手机进行取证,请您对以下问题进行分析解答。
627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920×1080)
注意:中间为乘号×,不是字母x
打开直接左上角搜索,找到图片导出查看属性
手机取证_2
题目描述:
姜总的快递单号是多少?(答案参考格式:abcABC123)
直接搜索姜在聊天记录中找到