題目描述
一天下午小白出去吃飯,臨走之前還不忘鎖了電腦,這時同寢室的小黑想搞點事情,懂點黑客和社工知識的小黑經過多次嘗試獲得了密碼成功進入電腦,於是便悄悄在電腦上動起手腳了,便在桌面上寫着什么,想給小白一個驚喜,同時還傳送着小白的機密文件,正巧這時小白剛好回來,兩人都嚇了一跳,小黑也不管自己在電腦上留下的操作急忙離開電腦,故作淡定的說:“我就是隨便看看”。
1.小黑寫的啥,據說是flag?
2.那么問題來了,小白的密碼是啥?
3.小黑發送的機密文件里面到底是什么
1、分析鏡像:
volatility -f L-12A6C33F43D74-20161114-125252.raw imageinfo
2、查看進程:
volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 pslist
列出可疑進程:
- explorer.exe 1416
- notepad.exe 280
- cmd.exe 1568
- nc.exe 120
- DumpIt.exe 392
3、用notepad插件列出記事本的內容:
volatility notepad -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86
hex轉ascii。
4、用cmdscan提取cmd歷史記錄:
volatility cmdscan -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86
看到小黑用nc命令向192.168.57.14 2333發送了一個zip壓縮包
提取zip壓縮包:
volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 filescan | grep "P@ssW0rd_is_y0ur_bir7hd4y.zip"
volatility -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002c61318 --dump-dir=./
發現壓縮包需要密碼
5、要獲取用戶的賬戶密碼的話,學到用hashdump插件把hash值提取出來:
volatility hashdump -f L-12A6C33F43D74-20161114-125252.raw --profile=WinXPSP2x86
得到:
Administrator:500:1e27e87bd14ec8af43714428b303e3e4:1e581aafa474dfadfdf83fc31e4fd4ea:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:687255e91a0f559b6d75553dbd51f785:b6125736bdd2d5f154fdce59f52e39f1:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:fb41f8d1334fba131974c39bfab09512:::
彩虹表下載地址(https://ophcrack.sourceforge.io/tables.php)
試了幾個表,都沒跑出來,還好XP special跑出了最后關鍵的部分。
最后小白的出生日期就是zip的解壓密碼。
參考鏈接:
https://www.freebuf.com/news/145262.html
https://www.cnblogs.com/p20050001/p/11892766.html
https://blog.csdn.net/dmbjzhh/article/details/79425483