题目说明

这道题目是一道比较简单的内存取证题目，是利用WIndows中进程的内存转储进行出题，使用取证工具即可解出这道题。

题目来源于：青少年CTF

题目官方编号：「QSNCTF-2023-T-QZ-20230804001」

题目难度：2星

题目描述：有一个自称是“世界上最强的黑客组织”的人，取得了这个服务器的控制权限，并且使用内存转储工具获取了lsass.exe的进程，但是他好像并不会取得服务器的密码，你能帮帮他吗？Flag格式为：qsnctf{Administrator的密码}。

解题思路

既然题目已经明确告诉我们是lsass.exe的内存转储，那么我们百度搜索或凭经验可得，我们需要一个工具来分析它。

我们看到第三篇文章的师傅点名道姓的使用mimikatz，我们也进行一个尝试。

环境配置

系统：Windows Server 2008 R2 （因为手上就一个Mac电脑，所以暂时用Linux机器开了一台虚拟机，这个应该只要是64位的Windows应该就行，32位的话好像Mimicatz会报错）

软件：Mimicatz，关注微信公众号“中学生CTF”回复Mimicatz可获得下载链接。

过程

将下载的附件解压，取出lsass.dmp，放到Mimicatz同目录下：

接着打开mimikatz

使用下面命令取得Administrator密码：

sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

接着就可以取到Administrator的密码啦，密码为：qsnctf.after.6.years，那么flag就是qsnctf{qsnctf.after.6.years}。

知识点

那么，lsass.dmp是什么？其实就是Windows中lsass.exe的内存转储。

Lsass.exe

Lsass.exe（Local Security Authority Subsystem Service）是Windows操作系统的一个重要进程，它负责处理本地安全策略、安全认证和账户管理等安全相关任务。

具体来说，Lsass.exe进程承担以下职责：

1. 处理本地安全策略：Lsass.exe负责处理Windows操作系统的本地安全策略，包括密码策略、账户锁定策略、安全审计策略等。

2. 处理安全认证：Lsass.exe负责本地用户和计算机的安全认证，包括用户登录验证、访问控制等。

3. 管理本地账户：Lsass.exe负责创建、修改、删除本地用户和组，并处理用户账户的安全标识符（SID）等。

内存转储（Memory Dump）指的是将计算机内存中的所有或部分内容，以文件的形式保存到磁盘上的操作。内存转储可以包含操作系统、应用程序、驱动程序等所有正在运行的程序和数据，以及操作系统内核的状态信息等。

内存转储

内存转储通常用于故障排除和安全分析，当系统出现问题时，可以通过内存转储来分析问题的原因。例如，当Windows操作系统出现蓝屏错误时，系统会自动进行内存转储，以便让管理员或技术支持人员分析错误的原因。在安全分析中，内存转储可以作为取证的重要证据，帮助分析人员分析系统的运行状态、病毒和恶意软件的行为等。

内存转储的大小可以根据需要进行配置，一般来说，完整的内存转储文件非常大，可能达到数十GB，而部分内存转储则只包含操作系统内核和正在运行的程序的关键信息，大小较小，通常只有几百MB或更小。内存转储文件可以使用专门的工具来分析，例如Windows操作系统自带的Debugging Tools for Windows。