1

分析镜像系统，Win7SP1x64

看用户名账密

解密得到qweasd!123

看内存进程，没啥东西

工具mount挂在1文件

一串编码

使用notepad++的自带插件，对hex进行解码ascii形式

分析发现有base编码，使用base58解码得到flag{831b5f4d1c7cd200e23e4cc3ec8538fb}

2

密码都是空

有个可疑进程

提取

strings打印出，兔子洞，但是有提示

根据提示找jpg文件

提取图片

foremost分离图片，发现里面还有压缩包，解压得到另一个镜像

是个ext2磁盘文件

挂载

hint.txt是一堆坐标

用kali的工具画图gnuplot ，得到一张二维码

解码

Here is the vigenere key: aeolus, but i deleted the encrypted message。

翻找其他位置文件，swp，是vim编译意外中断产生

恢复文件，打开

根据上面的key进行解码，得到yeet!just_find_and_solve

3

看密码asdqwe123

列出进程，又看到一个特殊的进程

dump下来

foremost文件，看有没有藏什么东西

有个解压包，需要密码

mimikatz的密码来回尝试，几经周折都没成功

文件拉取到物理机才发现提示

进行sha256加密

两张图片

立马联想到MISC的盲水印知识点

用Stegsolve打开

得到hgame{7he_f1ame_brin9s_me_end1ess_9rief}

4

老样子先抓一下密码

pslist看进程，也是有个notepad（记事本快捷打开）

cmdline：进程的命令行参数

vol.py  --file=/root/tutu/4/4.raw --profile=Win7SP1x64 cmdline

查看位置

dump下来

cat

解压得到

提示需要LastPass，装了插件用不了，奇怪

看解压文件类型

cookies是个sql

文件尾部有个工具，待会可能要挂载，还要个密码

而且这个解压的文件有内存，但是里面没有东西，这个坑一直没解决

最终在这里找到办法

隐藏文件也显示了

windows运行mimikatz

先获取获取MasterKey

然后就是从cookie找密码

得到!bWjAqM2z!iSoJsV*&IRV@*AVI1VrtAb

挂载，这个还真是，知道密码，还得用相同的挂载软件才能用

这边我用kali的挂载

ads图片

对该文件进行misc的知识一直没找到，最后还是百度

用工具扫

得到hgame{Which_0nly_cryin9_3yes_c4n_de5cribe}