网鼎杯2020-白虎组-密码柜
网鼎杯2020-白虎组-密码柜
由取证大师夏风师傅亲自打造的一道取证题,知识点涉及蛮多,而且还比较新颖,非常值得一做!
题目考点
- 内存取证
- KeePass文件加密
- BitLocker密钥恢复
- Windows系统保留字
题目描述
转载一张来自夏风师傅wp的题目导图
题目附件:https://pan.baidu.com/s/1Np0Ba-lgY3_xCnuXLBxi-g 提取码:vtex
题目详解
下载附件得到一个vmem文件和一个kdbx文件,百度可知这个kdbx文件是由KeePass这个软件加密得到的
下载后打开,可以发现需要密钥,所以接下来第一步我们就需要在内存中找到解密所需的密钥
用vol或者AXIOM分析可以发现,这道题提供了一个win10环境下的vmem文件,目前的vol和AXIOM都不支持从这种版本的镜像中提取文件,所以本题采用取证大师来进行取证
自动取证后进行数据恢复,全选即可,搜索txt或者关键字密码柜即可看到密码柜备份.txt
打开后得到以下内容
密码柜的密码可不能忘了,毕竟那里面存着我最重要的东西
而且我走哪都要带着它
6s4mxkhvge尝试发现6s4mxkhvge就是打开kdbx文件的密钥,打开后看到main_key这一栏带有附件,且为kge格式
百度可知kge为一种压缩文件格式,和kgb类似,都由KGBArchiver这个软件产生和解压(kgb也符合题目背景),将文件导出后解压,发现需要密码,直接右键main_key这一栏复制即可,得到密码:XLlArBkn
解压后得到vhdx文件,将其挂载在电脑上,发现被BitLocker加密,在内存中搜索明文密钥无果,想到用Elcomsoft Forensic Disk Decryptor这个工具进行恢复,借用夏风师傅wp中的描述:
分析内存文件我们无法找到明文保存的Bitclocker密钥,所以我们可以想到从内存中提取bitclocker的恢复密钥(恢复密钥是48位,与正常的解密密钥不同,是用来恢复忘记了的bitclocker密码的,只要在一个电脑上解锁过这个被bitclocker加密过的磁盘,就可以提取出来)
Extract keys → 选vmem文件和'BitLocker' → 找到Key data(hex)并另存为evk文件
以管理员权限再次运行这个软件,选择第一个Decrypt or mount disk,之后选择BitLocker进行解密
在Saved keys处选择刚刚保存的evk文件,点击下一步即可得到恢复密钥
利用得到的恢复密钥解锁加密的磁盘,得到一个自解压文件,在解压时会提醒
由于aux是windows环境下的一种保留字,即使我们强行将其保存下来也无法对其进行操作,所以我们将其进行重命名处理,即可正常解压,解压后010editor观察即可发现其为png文件,改后缀为png即可看到flag
参考文章
- FzWjScJ师傅的wp:http://www.fzwjscj.xyz/index.php/archives/29/
- 夏风师傅的wp:https://blog.xiafeng2333.top/ctf-33/