menu Ga1@xy's Wor1d
网鼎杯2020-白虎组-密码柜
274 浏览 | 2020-05-19 | 阅读时间: 约 2 分钟 | 分类: wp,MISC | 标签: Misc,比赛wp
请注意,本文编写于 192 天前,最后修改于 192 天前,其中某些信息可能已经过时。

由取证大师夏风师傅亲自打造的一道取证题,知识点涉及蛮多,而且还比较新颖,非常值得一做!

题目考点

  • 内存取证
  • KeePass文件加密
  • BitLocker密钥恢复
  • Windows系统保留字

题目描述

转载一张来自夏风师傅wp的题目导图

题目附件:https://pan.baidu.com/s/1Np0Ba-lgY3_xCnuXLBxi-g

提取码:vtex

题目详解

下载附件得到一个vmem文件和一个kdbx文件,百度可知这个kdbx文件是由KeePass这个软件加密得到的

下载后打开,可以发现需要密钥,所以接下来第一步我们就需要在内存中找到解密所需的密钥

用vol或者AXIOM分析可以发现,这道题提供了一个win10环境下的vmem文件,目前的vol和AXIOM都不支持从这种版本的镜像中提取文件,所以本题采用取证大师来进行取证

自动取证后进行数据恢复,全选即可,搜索txt或者关键字密码柜即可看到密码柜备份.txt

打开后得到以下内容

密码柜的密码可不能忘了,毕竟那里面存着我最重要的东西
而且我走哪都要带着它
6s4mxkhvge

尝试发现6s4mxkhvge就是打开kdbx文件的密钥,打开后看到main_key这一栏带有附件,且为kge格式

百度可知kge为一种压缩文件格式,和kgb类似,都由KGBArchiver这个软件产生和解压(kgb也符合题目背景),将文件导出后解压,发现需要密码,直接右键main_key这一栏复制即可,得到密码:XLlArBkn

解压后得到vhdx文件,将其挂载在电脑上,发现被BitLocker加密,在内存中搜索明文密钥无果,想到用Elcomsoft Forensic Disk Decryptor这个工具进行恢复,借用夏风师傅wp中的描述:

分析内存文件我们无法找到明文保存的Bitclocker密钥,所以我们可以想到从内存中提取bitclocker的恢复密钥(恢复密钥是48位,与正常的解密密钥不同,是用来恢复忘记了的bitclocker密码的,只要在一个电脑上解锁过这个被bitclocker加密过的磁盘,就可以提取出来)

Extract keys → 选vmem文件和'BitLocker' → 找到Key data(hex)并另存为evk文件

以管理员权限再次运行这个软件,选择第一个Decrypt or mount disk,之后选择BitLocker进行解密

Saved keys处选择刚刚保存的evk文件,点击下一步即可得到恢复密钥

利用得到的恢复密钥解锁加密的磁盘,得到一个自解压文件,在解压时会提醒

由于aux是windows环境下的一种保留字,即使我们强行将其保存下来也无法对其进行操作,所以我们将其进行重命名处理,即可正常解压,解压后010editor观察即可发现其为png文件,改后缀为png即可看到flag

参考文章

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!