目录
- 电脑内存文件与volatility工具
- 获取电脑用户名
- 获取程序最后一次运行的时间
- 总结
电脑内存文件与volatility工具
这个文件就是内存文件
提取内存信息,我们一般采用volatility工具进行提取,具体如何安装和使用,直接去网上搜索就可以了
获取电脑用户名
题目问我们的第一个问题是佳佳的电脑用户名叫什么,我们先去识别一下.raw文件信息,获取系统版本
为了更好的进行操作,我们先把文件名JiaJia_Co.raw修改为q.raw
输命令
volatility.exe -f q.raw imageinfo
内存的镜像版本是Win7SP1x64,操作系统我们一般采用第一个
打印注册表配置单元列表,获取计算机注册表目录
volatility.exe -f q.raw --profile=Win7SP1x64 hivelist
通过题目的暗示,我们知道佳佳的电脑用户名叫JiaJia
注册表 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 这个目录下保存着当前计算机中的所有用户,可以使用 printkey 插件,并用-K参数指定这个目录并打印
volatility.exe -f q.raw --profile=Win7SP1x64 printkey -K "SAM\DOMAINS\Account\Users\Names"
发现除了Administrator用户和Guest用户之外,还有一个JiaJia用户,那就能百分百确定佳佳的电脑用户名
获取程序最后一次运行的时间
打印userassist注册表项和信息
跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。
volatility.exe -f q.raw --profile=Win7SP1x64 userassist
题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间
得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47
合在一起flag就是ctfshow{JiaJia_2021-12-10_20:15:47},md5加密为ctfshow{079249e3fc743bc2d0789f224e451ffd}
总结
使用hashdump获取sam值
volatility.exe -f q.raw --profile=Win7SP1x64 hashdump
先破解sam值获取hash值,然后在md5解密
判断hash值使用的是那种方式加密:https://hashes.com/en/tools/hash_identifier
john pass.txt
john的使用文章可以参考:https://zhuanlan.zhihu.com/p/559819451
使用lsadump命令可以强制查看服务器默认密码
volatility.exe -f q.raw --profile=Win7SP1x64 lsadump
查看当前系统IP,获取主机IP 192.168.26.230
volatility.exe -f q.raw --profile=Win7SP1x64 netscan
通过svcscan查询服务名称,找到对应服务名
volatility.exe -f q.raw --profile=Win7SP1x64 svcscan
