简单的取证#CTF

简单的取证Wirte Up

#题目源于bugku-简单的取证1
1.下载取证软件地址https://www.magnetforensics.com/products/magnet-axiom/这里我使用Magent AXIOM筛选使用痕迹,由题干得知flag形式是以flag{用户名_密码}的,所以大致思路就是使用软件筛选的过程中找文件中的用户名和密码。
2. 解压缩文件是c盘的系统文件,Windows存储密码文件路径通常在C:\Windows\System32\config\SAM的路径,所以我们重点关注这个路径的用户名和密码。
3. 筛选使用痕迹得到用户和对应令牌密码简单的取证#CTF_第1张图片 administrator-QQAAzz、Administrator、WDAGUtilityAccount、Guest等 筛选用户对应的密码令牌 administrator-QQAAzz 5F9469A1DB6C8F0DFD98AF5C0768E0CD WDAGUtilityAccount 8ADF83B531E1CDADC8D16B206D87A4D5 发现为MD5里面的NTLM加密方式,使用MD5(https://cmd5.com/)在线破解,发现其中一个破解缓慢,另一个秒破解简单的取证#CTF_第2张图片简单的取证#CTF_第3张图片

4.经破解尝试后,得正确flag为 flag{administrator-QQAAzz_forensics}搞定!
#CTF#网络安全爱好者

你可能感兴趣的