赣网杯2022初赛misc1

搜索关键词flag并提取

python vol.py -f /home/wha1e/桌面/1.raw --profile=Win7SP1x64 filescan | grep "flag" 
python vol.py -f /home/wha1e/桌面/1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000002a2897e0 -D /home/wha1e/桌面

提取修改文件名为flag.kdbx

使用john进行hash爆破无效后搜索关键词pass，同在桌面发现pass.zip，提取出来

python vol.py -f /home/wha1e/桌面/1.raw --profile=Win7SP1x64 filescan | grep "pass"
python vol.py -f /home/wha1e/桌面/1.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007fa32510 -D /home/wha1e/桌面

解压在logins.json内存在账户密码，但是加密

查看进程，发现有大量firefox进程，该pass可用firepwd获取账号密码明文

获取密码7HeFuNk33p@Ss…

解开flag.kdbx，获取base64
ZmxhZ3s5Njk5YmVmYTk1M2M4NzUxYjU1MjQzNzU1ODE4MDliM30=

获取flag为flag{9699befa953c8751b5524375581809b3}

写在后面
这题算比较常见的内存取证，可恨剪切板关键时刻卡住，错失一血（同一分钟提交），再接再厉吧。misc2属实没理解该如何处理，如果有师傅解出来了的话恳请指教。