HGAME WRITEUP WEEK4——FzWjScJ
MISC
<font size='8'>0x01</font>Warmup
  解压zip是一张gif图，然而并打不开……在多次烦出题人加上自己瞎倒腾之后(binwalk)知道了这是一个改了后缀的内存文件（出题人真任性）,然后得到了一个内存取证神器mimikatz，在短暂的学习文档后用了几个指令log(登陆windows）、privilege::debug(获得权限）、sekurlsa::minidump 1.gif(模拟使用内存)、sekurlsa::logonPasswords(抓取密码),然后得到密码：

  再找一个加密网站加密成sha256就行，得到flag：hgame{dd6dffcd56b77597157ac6c1beb514aa4c59d033098f806d88df89245824d3f5}(随便吐槽一句，win10真厉害）

<font size='8'>0x02</font>Clodown
  解压后是2个G的mp4（大写的震惊，还以为老司机开车了），但是依旧打不开，吸取教训的我去binwalk了一波……结果跑了不知道多长时间易得又是一道内存取证题（日语草），在kali里好像有一个取证工具叫volatility,然后用volatility -f memory.mp4 imageinfo找到适用机型……但是并没找到，后面py出题人得到正确架构——Win7SP1x64（扫出来都是win8win10=。=）
  然后开始第二步，查看SAM和System的注册表地址，输入指令volatility -f memory.mp4 --profile=Win7SP1x64 hivelist，找到两个地址0xfffff8a003652010和0xfffff8a000024010

  进行查找用户密码的指令volatility -f memory.mp4 --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a003652010得到用户密码的哈希值：0bb8d932bbfee69fbc874214f39b1b67

  去网上找了个hash解密网站（并不会用hashcat=。=）解的密码：admin123456，再去用sha256加密一波得到flag：hgame{ac0e7d037817094e9e0b4441f9bae3209d67b02fa484917065f71b16109a1a78}

<font size='8'>0x03</font>暗藏玄机
  ZIP解压后两个图片，百度了一下得知应该是盲水印然后去下了个工具试了试，得到flag：hgame{h1de_in_THE_p1Cture}