2020网鼎杯白虎组 MISC 密码柜
青龙组自闭misc手,过来看看白虎的题目。。
给了两个文件,一个镜像一个Database.kdbx
首先,这是一个win10的内存镜像,小菜鸡也是第一次见,因为win10特有的内存压缩机制,所以我的vol没法进行内存取证。。去搜了一下,知道了一个项目。是用来进行win10取证的,vol3应该也是支持的。
通过VOL查看进程和搜索,可以发现kdbx是keepass的数据库文件。keepass主要是用来储存密码的,数据库用一个密码来加密,从而达到安全的储存密码的目的,同时题目也提示密码柜,看来是这个东西了。
那么去找一下文件
可以找到一个密码柜备份.txt
密码柜的密码可不能忘了,毕竟那里面存着我最重要的东西
而且我走哪都要带着它
6s4mxkhvge
有用的是这个第三个密码,是kgb压缩包的压缩密码,去搜索这个something.kge文件,将文件dump下来,用密码解开应该就可以了。这个版本vol我这里dump不下来,所以目前还没做出来,比赛的时候也是做到这里卡住了。具体也还没搞清楚。。
更新一下
有好多人问我txt是怎么dump下来的,我是通过取证大师的数据恢复功能恢复出文件看的(我承认我菜)
用其他数据恢复软件或者直接去看文件应该也是可以的。
谢谢L1n3师傅的指点,师傅也已经解完这道题了。
https://writeup.ctfhub.com/Challenge/2020/%E7%BD%91%E9%BC%8E%E6%9D%AF/%E7%99%BD%E8%99%8E%E7%BB%84/828f7ab8.html
这个something,kge文件是通过kee导出的,右键选择import就可以了,我这里kgb怎么装都装不好,就不继续往下面做了
估计也有不少人会有同款报错吧,,,