2020網鼎杯白虎組 MISC 密碼櫃
青龍組自閉misc手,過來看看白虎的題目。。
給了兩個文件,一個鏡像一個Database.kdbx
首先,這是一個win10的內存鏡像,小菜雞也是第一次見,因為win10特有的內存壓縮機制,所以我的vol沒法進行內存取證。。去搜了一下,知道了一個項目。是用來進行win10取證的,vol3應該也是支持的。
通過VOL查看進程和搜索,可以發現kdbx是keepass的數據庫文件。keepass主要是用來儲存密碼的,數據庫用一個密碼來加密,從而達到安全的儲存密碼的目的,同時題目也提示密碼櫃,看來是這個東西了。
那么去找一下文件
可以找到一個密碼櫃備份.txt
密碼櫃的密碼可不能忘了,畢竟那里面存着我最重要的東西
而且我走哪都要帶着它
6s4mxkhvge
有用的是這個第三個密碼,是kgb壓縮包的壓縮密碼,去搜索這個something.kge文件,將文件dump下來,用密碼解開應該就可以了。這個版本vol我這里dump不下來,所以目前還沒做出來,比賽的時候也是做到這里卡住了。具體也還沒搞清楚。。
更新一下
有好多人問我txt是怎么dump下來的,我是通過取證大師的數據恢復功能恢復出文件看的(我承認我菜)
用其他數據恢復軟件或者直接去看文件應該也是可以的。
謝謝L1n3師傅的指點,師傅也已經解完這道題了。
https://writeup.ctfhub.com/Challenge/2020/%E7%BD%91%E9%BC%8E%E6%9D%AF/%E7%99%BD%E8%99%8E%E7%BB%84/828f7ab8.html
這個something,kge文件是通過kee導出的,右鍵選擇import就可以了,我這里kgb怎么裝都裝不好,就不繼續往下面做了
估計也有不少人會有同款報錯吧,,,