星期五, 三月 1日 2019, 8:00 晚上

HGAME WRITEUP WEEK4——FzWjScJ
MISC
0x01Warmup
  解压zip是一张gif图,然而并打不开……在多次烦出题人加上自己瞎倒腾之后(binwalk)知道了这是一个改了后缀的内存文件(出题人真任性),然后得到了一个内存取证神器mimikatz,在短暂的学习文档后用了几个指令log(登陆windows)privilege::debug(获得权限)sekurlsa::minidump 1.gif(模拟使用内存)sekurlsa::logonPasswords(抓取密码),然后得到密码:

  再找一个加密网站加密成sha256就行,得到flag:hgame{dd6dffcd56b77597157ac6c1beb514aa4c59d033098f806d88df89245824d3f5}(随便吐槽一句,win10真厉害)


0x02Clodown
  解压后是2个G的mp4(大写的震惊,还以为老司机开车了),但是依旧打不开,吸取教训的我去binwalk了一波……结果跑了不知道多长时间易得又是一道内存取证题(日语草),在kali里好像有一个取证工具叫volatility,然后用volatility -f memory.mp4 imageinfo找到适用机型……但是并没找到,后面py出题人得到正确架构——Win7SP1x64(扫出来都是win8win10=。=)
  然后开始第二步,查看SAM和System的注册表地址,输入指令volatility -f memory.mp4 --profile=Win7SP1x64 hivelist,找到两个地址0xfffff8a0036520100xfffff8a000024010

  进行查找用户密码的指令volatility -f memory.mp4 --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a003652010得到用户密码的哈希值:0bb8d932bbfee69fbc874214f39b1b67

  去网上找了个hash解密网站(并不会用hashcat=。=)解的密码:admin123456,再去用sha256加密一波得到flag:hgame{ac0e7d037817094e9e0b4441f9bae3209d67b02fa484917065f71b16109a1a78}


0x03暗藏玄机
  ZIP解压后两个图片,百度了一下得知应该是盲水印然后去下了个工具试了试,得到flag:hgame{h1de_in_THE_p1Cture}



HGAME WEEK3

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!

Toc: