2024西湖论剑取证题目easy_rawraw

2024西湖论剑-easy_rawraw

题目到手是两个附件，一个raw镜像，一个压缩包，压缩包有密码，暴力破解打不开，密码大概率是在镜像文件中。

先用volatility分析下,首先是查到一个密码das123admin321

在剪切板中又发现一个密码DasrIa456sAdmIn987

在查看cmd执行了哪些进程时，发现pass.zip文件

将pass.zip文件提取出来分析一波

提取出来的文件为bat文件，将后缀改为zip

压缩包解压出来后是一张图片

010Editor分析下，里面还有东西

用binwalk分离下

又是一个zip压缩包

需要解压密码

纯数字暴力破解成功，密码为20240210

解压出来pass.txt，看着像密钥文件，先放一边，先解决另一个压缩包

这个压缩包暴力破解无果，尝试用上面得到的几个密码，填入DasrIa456sAdmIn987成功解压缩，得到一个镜像文件，尝试进行挂载

这里选择使用前面得到的密钥文件

成功挂载，得到xlsx表格

打开文件需要密码，尝试用上面得到的密码，填入das123admin321成功解密

搜索关键词发现flag