一道不错的取证题目,主要考察微信聊天记录解密
题目描述
巅峰极客2022-Misc-easy_Forensic
小明不小心把自己出题的flag在微信中发了出去,你能找到这个flag吗?
题目解析
使用volatility分析,主要看cmdline cmdscan filescan等参数
一个小技巧,filesscan可以grep一下Desktop
一共四个可疑文件,依次dump出来
gift.jpg
感觉下面还有东西,拉一下高度
010editor打开,修改对应值
获得密码是
1 | Nothing is more important than your life! |
hint.txt
直接dump不出来,用DG看一下,分区加载进来之后点击恢复文件就可以了,意思大概就是用下划线替换空格
那么密码就是
Nothing_is_more_important_than_your_life!
secret.zip
gift.txt
密码Nothing_is_more_important_than_your_life!
尝试解压
不知道是什么,先留着wHeMscYvTluyRvjf5d7AEX5K4VlZeU2IiGpKLFzek1Q=
wechat.txt
题目要求是恢复微信聊天记录,那么wechat.txt可能是数据库文件,找一下怎么恢复微信聊天记录
https://www.ctfiot.com/49052.html
将wechat.txt 重命名wechat.db 放到指定目录下
上层目录运行
navicat看一下数据库
聊天记录在session表里面
