Bugku 杂项-Windows 简单取证

1 题目链接

题目链接：http://ctf.bugku.com/challenges/detail/id/330.html

文件备份地址：
链接：https://pan.baidu.com/s/1WsbROQULfGlNbdMFGPOM9A
提取码：89hy

2 题目分析

之前没接触过取证类的题目，看了题目底下的评论做的，主要是用到了 mimikatz，还有其他的诸如“取证大师”也可以用。

3 解题方法

mimikatz 进入到 config 文件夹,执行命令 lsadump::sam /sam:SAM /system:SYSTEM ，获取用户名和 ntlm 的 hash 值，拿到 cmd5 去解密即可。

Over。