python vol.py -f easy_dump.img --profile=Win7SP1x64 memdump -p 2616 -D ./
但是提取出来的直接用strings是无法查看的需要通过一下命令
strings -e l 2626.dmp | grep flag
继续寻找图片文件
python vol.py -f easy_dump.img --profile=Win7SP1x64 filescan |grep -E 'jpg|gif|png'
提取图片文件
python vol.py -f easy_dump.img --profile=Win7SP1x64 dumpfiles -Q 0x000000002408c460 -D ./
图片提权出来后,利用binwalk测试图片中是否携带zip文件等内容
binwalk file.None.0xfffffa8008355410.vacb
利用binwalk分离文件,也可以用foremost分离,我们选择binwalk分离文件
binwalk -e file.None.0xfffffa8008355410.vacb
明显有一个zip文件和一个img文件,img后缀有可能是一个镜像文件,可以先用file命令查看下,也可以unzip解压下压缩包
经过解压,我们发现,zip文件夹里面就是message.img文件,我们用file查看是linux文件,直接利用mount挂载
可以看到里面有两个文件夹和一个txt,我们先查看下txt文件
269 206
269 207
269 208
269 209
269 210
269 211
269 212
269 213
269 214
269 215
269 216
269 217
269 218
269 219
经过查看,有非常多的数字成对出现,与坐标还是比较类似
尝试将数字转为坐标,使用 gnuplot 画图,发现二维码
直接处理后,生成一个二维码,扫描。
提示一串英文
Here is the vigenere key: aeolus, but i deleted the encrypted message。
这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。继续查看刚才两个文件夹,寻找密文
寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复
vim -r .message.swp
密文出现