简单的取证#CTF

简单的取证Wirte Up

#题目源于bugku-简单的取证1
1.下载取证软件地址https://www.magnetforensics.com/products/magnet-axiom/这里我使用Magent AXIOM筛选使用痕迹，由题干得知flag形式是以flag{用户名_密码}的，所以大致思路就是使用软件筛选的过程中找文件中的用户名和密码。
2. 解压缩文件是c盘的系统文件，Windows存储密码文件路径通常在C:\Windows\System32\config\SAM的路径，所以我们重点关注这个路径的用户名和密码。
3. 筛选使用痕迹得到用户和对应令牌密码 administrator-QQAAzz、Administrator、WDAGUtilityAccount、Guest等 筛选用户对应的密码令牌 administrator-QQAAzz 5F9469A1DB6C8F0DFD98AF5C0768E0CD WDAGUtilityAccount 8ADF83B531E1CDADC8D16B206D87A4D5 发现为MD5里面的NTLM加密方式，使用MD5（https://cmd5.com/）在线破解，发现其中一个破解缓慢，另一个秒破解

4.经破解尝试后，得正确flag为 flag{administrator-QQAAzz_forensics}搞定！
#CTF#网络安全爱好者