2024春秋杯冬季赛 ez_forensics

使用工具

1. LovelyMem V0.9
2. how-does-MobaXterm-encrypt-password

详细操作

使用LovelyMem快速检查，发现桌面上有hint和f14g.7z，导出文件

hint提示60=？+？，想到ROT47+ROT13

解密得到hint内容，告诉我们hashdump得到的用户密码就是7z压缩包的密码

使用LovelyMem Vol2-拓展功能-Mimikatz得到密码strawberries

解压压缩包，发现是MobaXterm的配置文件

接下来直接套了原题，使用flag_is_here作为MobaXterm的主密钥去对root用户密码进行解密

HyperSine/how-does-MobaXterm-encrypt-password: This repo offers a tool to reveal password encrypted by MobaXterm. (github.com)

python .\MobaXtermCipher.py dec -p flag_is_here DLulatnJIPtEF/EMGfysL2F58R4dfQIbQhzwuNqL
flag{eW91X2FyZV9hX2cwMGRfZ3V5}

最后base64得到flag