NSSRound#12 Basic-ordinary forensics
[NSSRound#12 Basic]ordinary forensics
vol.py -f forensics.raw --profile=Win7SP1x64 cmdscan
找到了一個密碼U_find_1t
vol.py -f forensics.raw --profile=Win7SP1x64 filescan | grep zip·
提取這個壓縮包
vol.py -f forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007f2b88b0 -D ./..
用上面的密碼解壓得到一個文字
再提取一下這個文字
內容:你知道vera嗎
用veracrypt掛載
得到一個secret的檔案
掛載
得到一個壓縮包
提示密碼格式為username_hostname
vol.py -f forensics.raw --profile=Win7SP1x64 mimikatz
得到username和hostname
密碼:Mario_Princess-Peach
NSSCTF{f0rens1cs_1s_Interesting}