看榜单题目名字发现了个“PPT”。直接F12寻找有用信息,还真找到了个ppt.zip直接下载。解压后发现就是一个ppt。
打开ppt之后发现他不是很单纯,ppt内容提示“大”随即看了它的属性,竟然有10.9MB
拖进010发现是PK文件头,那就说明他是一个压缩包(ppt可以直接改后缀为zip)
打开zip,在这个路径中发现了“手高是的念来过倒”没错,意思就是——倒过来念的是高手,那么也就是说需要我们把这个东西逆过来,还是拖进010.
文件开头有点提示了将他倒过来就是“weakpassword”最后面则是倒过来的“pk”那么我们有确定了,这是一个16进制倒过来的zip,那么我们就需要想办法将他内容逆转过来
脚本小子上线(记得把文件名字改了,或者用绝对路径也可以)
with open('手高是的念来过倒','rb') as f:
with open('flag','wb') as g:
g.write(f.read()[::-1])脚本可参考单机取证-鉴于信息安全管理与评估赛项-计算机单机取证特别说明-例题详解-Autopsy使用_autopsy案例-优快云博客
然后得到“flag”文件,因为在010中已经发现这是一个zip,那就直接改后缀为zip,然后解压缩。得到lsass.dmp的文件。
赛后我去搜了一下,这是一个内存取证的题目,看见dmp为后缀的文件。可以用猕猴桃mimikatz打开(记得把火绒关掉)
接下来写两行命令:读取已经打包的内存信息,加载dmp文件,并导出其中的明文密码。
可参考:Mimikatz详细使用总结 - Togentle - 博客园
mimikatz # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'
mimikatz # sekurlsa::logonpasswords
Opening : 'lsass.dmp' file for minidump...就拿到了这个Flag
扫一扫
1603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
