2021年“莲城杯”网络安全大赛-Misc-解密试试

题目名称：解密试试
题目内容：解密试试
题目分值：300.0
题目难度：困难
相关附件：mem的附件.7z

解题思路：

1.raw文件，内存取证题

进入.raw文件所在目录，输入命令判断该文件内存进程

volatility.exe -f mem.raw imageinfo

2.可以得到profile类型WinXPSP2x86，filescan保存一下

volatility.exe -f mem.raw --profile=WinXPSP2x86 filescan >1.txt

3.发现hint.txt

volatility.exe -f mem.raw --profile=WinXPSP2x86 dumpfiles -Q 0x000000000c350028 - -dump-dir=./

4.提取出来发现提示

5.于是我们获取一下login password

C:\Users\12254\Desktop\Game\莲城杯\Misc\mem>volatility.exe -f mem.raw -- 
profile=WinXPSP2x86 hashdump 
Volatility Foundation Volatility Framework 2.6 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c08 
9c0::: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: 
HelpAssistant:1000:aab9d0e370b6ccc528fecb7cffc71f03:7905e7a5ce0ebab586e31ba1ca4c 
276e::: 
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:e25e1c80ac8f0120f52ed3bad 
45d7501::: 
lll:1003:781b843ac3ebea42b75e0c8d76954a50:d503a8571a79baf9b951884f350ad048:::

6.将d503a8571a79baf9b951884f350ad048拿去md5解码得到passwd123

7.结合hint，我们想到

拿到

U2FsdGVkX1+xKj8n1Cx90tRr/McSRA==

8.直接010搜索一下+号之前的文字发现

9.复制解密

10.拿到flag

DASCTF{bad935cc4824223e69162bc68f25275e}

标签：profile,exe,莲城杯,mem,Misc,解密,raw,2021,volatility
来源： https://blog.csdn.net/qq_43264813/article/details/120745574