附件下载下来是一个vmem是一个虚拟内存文件,保存有镜像的一些信息
首先分析文件的镜像信息:
vol.py -f chall.vmem imageinfo
得到操作系统信息是Win7SP1x64
接着扫描内存镜像中文件系统的条目:
vol.py -f chall.vmem --profile=Win7SP1x64 filescan | grep zip
根据扫描结果得知里面藏有一个zip文件,因此要导出这一个文件:
vol.py -f chall.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007dafd070 -D .
其中-Q指定的偏移量为黄色箭头指向部分
发现导出来的是一个DAT文件,因此我们还需要使用foremost工具进行分离
将文件拖进去kali虚拟机中,使用kali自带的foremost进行分离:
foremost file.None.0xfffffa801af02dc0.dat
分离后得到一个压缩包,解压缩发现需要密码:
因此回去继续查找密钥,使用mimikatz插件或者passware kit可得到密钥:
vol.py--plugin=/home/shd/tool/volatility-master/contrib/plugins -f chall.vmem
--profile=Win7SP1x64 mimikatz
得到密钥后,解压缩,得到flag:
flag{My_p4sSw0Rd_YOu_Kn0w_N0w~23bcd63aae90}
菜鸡一枚,写得不好忽喷,有写错的也请帮忙指出来。
标签:vol,Win7SP1x64,--,py,2024,vmem,wp,GHCTF,chall From: https://blog.csdn.net/hhhh9504/article/details/144437564